アクセス管理はアクセスコントロールの4A を提供し、かつ統合します。
< アクセスコントロールの4A >
- Authentication:認証
「アクセスしてきたユーザが正規のユーザであることが保証されているか」
- Authorization:認可
「どのユーザが」「何にアクセスできるのか」
- Auditing:監査証跡
「どのユーザが、いつ、何にアクセスしたのか」
- Administration :管理
「認証、認可、監査証跡が統合的に制御、管理されているか」
例えば
「個々のサーバが独自のユーザ管理や認証構造を持っている」状態はアクセスコントロールの4A がシステム毎にサイロ化している状態であり、管理はアプリ任せに行われている状態アクセスの実態が把握は困難を極めます。
つまり、アクセスコントロールの4A が適切に行われていなければ、法令が求める内部統制の実現ができないことになります。よって、「アクセスコントロールの4A
を統合管理して、セキュリティ上のリスクを削減する」 ことが必要になります。
したがって、 2007 年 4 月までにという時間が限られた状況でも、まず整備したいのはアクセスコントロールの4A
と言えるでしょう。 |