ID管理のリスクと課題「内部統制」

2021年1月6日

ID管理は、企業における「内部統制」と大きく関わります。

今回は、内部統制の概要について紹介します。

「内部統制」とは

概要

企業などのすべての組織に対して「組織に悪影響を及ぼす脅威」や「組織資産を損失させる脅威」が発生する可能性は常に存在しています。

すべてのビジネスには、「悪意はないがリカバリーに大きなコストが必要となる単純な操作ミス」から「企業に大規模損害を与える悪意のある不正操作」など、さまざまなリスクが存在し続けます。

企業防衛のためには、発生する理由に関係なく、「組織へのあらゆる損失を回避または最小限に抑えるための管理手法」を確立しておく必要があり、これが「内部統制」という考え方になります。

内部統制には「監査」「予防」「是正」の3つの主要なタイプがあり、「問題を防止し組織の資産を保護するために実装されるポリシーや手順」「技術的な保護手段」などが含まれます。

これらのコントロールには考慮すべき制限もあり、システムの継続的なレビューおよび監視が不可欠となります。

「監査的内部統制」とは

監査的内部統制とは、対象となる問題発生後に使用される統制で、問題発生現場に足を踏み入れ、何が起きたのかを洗い出し、検証を実施する手法です。

主な検証項目

・問題が発生した原因は何か?
・問題発生が可能となった失敗したプロセスは何か?
・同様な問題が将来再び発生しないようにするために実装できるポリシーはあるか? など

実施例

・内部監査
・レビュー監査
・調整監査
・財務報告監査
・財務諸表監査
・実地棚卸監査 など

「予防的内部統制」とは

予防的内部統制とは、ネガティブなイベントの発生を回避するために導入される統制項目です。

実施例

・アプリケーション内の入力値チェック機能—誤った情報の入力を回避または最小限に抑える
・職務分離—「小切手を書く担当」と「支払いを承認する担当」を分ける
・アクセス制限エントリポイント管理—ビデオ監視、ID資格情報確認、警備員配置
・スタッフ管理—トレーニングプログラム
・資産保護—ファイアウォール設置、サーババックアップ など

「是正的内部統制」とは

是正的内部統制は、通常、監査的内部統制において、問題を発見した後に実施される統制です。

「再発防止のために是正方法を確立し適用するプロセス」を指します。

実施例

・ポリシー修正
・ドキュメント修正—財務諸表、ビジネスドキュメント
・ソフトウェア修正—パッチ適用、コード修正
・当該スタッフの懲戒処分 など

情報技術分野における内部統制

内部統制は、ID管理が実施される基盤である情報技術分野においても、さまざまな角度から実施されるべきものとされています。

ID管理関連

特にID管理に関わる項目として以下のような項目があります。

「ID+パスワード」の共有禁止

ITシステムにおいては、各ユーザーには「独自ユーザーID+独自パスワード」を割り当て、「ID+パスワード」をユーザー間で共有しないことが求められます。

システムアクセスの自動停止プロセス

ユーザーがシステムにアクセスする必要がなくなる時間帯(就業時間後など)には、システムが自動でアクセスを拒否するポリシーなどを実行することで、悪意あるアクセスからシステムを防御できる可能性を高めることができ、セキュリティ向上につながります。

スタッフの「異動」「離職」チェックリスト管理

スタッフが「異動」や「離職」となった場合に実施するための「アクセスチェックリスト」を整備しておく必要があります。

「アクセスチェックリスト」を適切に実施することにより、システムへのユーザーアクセスを適正に管理できます。

ID管理ソリューションを利用すると、このようなタスクを統合的に管理できます。

IT関連一般

その他IT関連一般分野における内部統制項目として、以下のようなものがあります。

・ソフトウェアライセンス管理
・データのバックアップとリカバリー
・システムへのパッチ適用
・ネットワークセキュリティ管理
・Webアプリケーションのセキュリティ維持管理
・セキュリティソフトウェア管理
・変更管理
・セキュリティインシデントの報告義務
・災害復旧および事業継続 など

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト