ID管理のリスクと課題「J-SOX」

ID管理は、企業における「内部統制」と大きく関わります。

今回は、その内部統制の1つの基準である「J-SOX」について紹介します。

「内部統制」とは

内部統制とは「企業防衛のために組織へのあらゆる損失を回避または最小限に抑えるための管理手法」を指します。

詳細はこちらのリンクページを参照ください。

→keyspider.jp →ID管理のリスクと課題「内部統制」

「J-SOX」とは

概要

J-SOXとは「内部統制報告制度」であり、「財務報告に係る内部統制に関する報告制度」を指します。

企業における内部統制とは「さまざまな業務が適正に実施され、組織が適切にコントロールされているかどうかをチェックすること」を指しますが、日本企業は内部統制のためにJ-SOXに対応することが必要とされています。

報告義務

日本の上場企業においては、例外なくJ-SOXへの対応が必要であり、事業年度ごとに「財務業務における内部統制評価結果」を国に報告する義務があります。

公認会計士もしくは監査法人による監査を受けた「内部統制報告書+有価証券報告書」を内閣総理大臣へ提出することが義務付けられています。

米国「SOX法」と日本版「J-SOX法」

J-SOX法は、米国のSOX法(企業改革法)をベースとしており、「日本(Japan)版SOX法」ということから「J-SOX法」と呼ばれています。

米国「SOX法」と同様に日本版「J-SOX法」も、「財務報告における内部統制」と「不正会計防止」を目的としています。

米国「SOX法」は運用における企業負担が膨大となることが課題となっていましたが、日本版「J-SOX法」では「経営者向けガイダンスサポート」や「ダイレクトレポーティング(企業監査人による内部統制テスト)」などにより、企業負担低減が図られています。

目的

J-SOXによる内部統制では、「財務報告書の信頼性確保」を中心として以下の4点が目的とされています。

1.業務の有効性と効率性
2.財務報告信頼性
3.関連法規遵守
4.資産保全

対象項目

J-SOXは以下の6項目を対象としています。

1.統制環境
2.リスクの評価と対応
3.統制活動
4.情報と伝達
5.モニタリング
6.ITへの対応

J-SOXにおける「ITへの対応」

J-SOXにおける「ITへの対応」は、金融庁が出している「財務報告に係る内部統制の評価及び監査に関する実施基準」の中の「ITの統制の構築」に関連しており、特にID管理と関わる項目となります。

「ITへの対応」として、以下の3項目が対象範囲とされています。

①IT全社的統制

「①IT全社的統制」とは「企業グループ全体としてのIT統制」を意味しています。

複数の会社を抱える企業グループの場合、本社や子会社のそれぞれのITシステムリスクを個別に評価するだけでなく、企業グループ全体としてのIT統制が必要です。

グループ全体で「ITシステム活用ポリシー」を設定し、本社や子会社の区別なく企業グループの末端まで、ITシステムガバナンスが適用される仕組みの構築が必要です。

②IT業務処理統制

「②IT業務処理統制」は、「企業業務管理システムにおいて承認された業務がすべて正確に処理(記録)されることを確保するために業務プロセスに組み込まれたITに関わる内部統制」を意味します。

「①IT全社的統制」をベースとし、「ERP」「販売管理」「会計管理」「在庫管理」「ワークフロー」などの個別システムについての方向性をまとめたもので、システムの具体的な「実装」「運用」「保守」に関する部分が対象となります。

③IT全般統制

「IT全般統制」は、「業務処理統制が有効に機能する環境を保証するための統制活動」を意味しています。

「複数の業務処理統制に関係する方針と手続」であり、「業務に必要な複数のシステムを連携させる場合のルール設定」や「内外アクセス管理などのシステム安全性確保」が中心となります。

対象項目例

・システムの「開発」「運用」「保守」における変更管理
・ID管理やセキュリティ対策によるアクセスと安全性の確保
・外部委託契約管理 など

まとめ

内部統制はコーポレートガバナンスの根幹であり、その内部統制をチェックするためのJ-SOX法は企業にとって非常に重要な制度です。

企業は「内部統制」「J-SOX」「コーポレートガバナンス」「セキュリティ保護」などの多くの要求に対応できるように、適切なID管理ソリューションを導入して、厳格なID管理の運用実施が求められます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

ID管理のリスクと課題「内部統制」

ID管理は、企業における「内部統制」と大きく関わります。

今回は、内部統制の概要について紹介します。

「内部統制」とは

概要

企業などのすべての組織に対して「組織に悪影響を及ぼす脅威」や「組織資産を損失させる脅威」が発生する可能性は常に存在しています。

すべてのビジネスには、「悪意はないがリカバリーに大きなコストが必要となる単純な操作ミス」から「企業に大規模損害を与える悪意のある不正操作」など、さまざまなリスクが存在し続けます。

企業防衛のためには、発生する理由に関係なく、「組織へのあらゆる損失を回避または最小限に抑えるための管理手法」を確立しておく必要があり、これが「内部統制」という考え方になります。

内部統制には「監査」「予防」「是正」の3つの主要なタイプがあり、「問題を防止し組織の資産を保護するために実装されるポリシーや手順」「技術的な保護手段」などが含まれます。

これらのコントロールには考慮すべき制限もあり、システムの継続的なレビューおよび監視が不可欠となります。

「監査的内部統制」とは

監査的内部統制とは、対象となる問題発生後に使用される統制で、問題発生現場に足を踏み入れ、何が起きたのかを洗い出し、検証を実施する手法です。

主な検証項目

・問題が発生した原因は何か?
・問題発生が可能となった失敗したプロセスは何か?
・同様な問題が将来再び発生しないようにするために実装できるポリシーはあるか? など

実施例

・内部監査
・レビュー監査
・調整監査
・財務報告監査
・財務諸表監査
・実地棚卸監査 など

「予防的内部統制」とは

予防的内部統制とは、ネガティブなイベントの発生を回避するために導入される統制項目です。

実施例

・アプリケーション内の入力値チェック機能—誤った情報の入力を回避または最小限に抑える
・職務分離—「小切手を書く担当」と「支払いを承認する担当」を分ける
・アクセス制限エントリポイント管理—ビデオ監視、ID資格情報確認、警備員配置
・スタッフ管理—トレーニングプログラム
・資産保護—ファイアウォール設置、サーババックアップ など

「是正的内部統制」とは

是正的内部統制は、通常、監査的内部統制において、問題を発見した後に実施される統制です。

「再発防止のために是正方法を確立し適用するプロセス」を指します。

実施例

・ポリシー修正
・ドキュメント修正—財務諸表、ビジネスドキュメント
・ソフトウェア修正—パッチ適用、コード修正
・当該スタッフの懲戒処分 など

情報技術分野における内部統制

内部統制は、ID管理が実施される基盤である情報技術分野においても、さまざまな角度から実施されるべきものとされています。

ID管理関連

特にID管理に関わる項目として以下のような項目があります。

「ID+パスワード」の共有禁止

ITシステムにおいては、各ユーザーには「独自ユーザーID+独自パスワード」を割り当て、「ID+パスワード」をユーザー間で共有しないことが求められます。

システムアクセスの自動停止プロセス

ユーザーがシステムにアクセスする必要がなくなる時間帯(就業時間後など)には、システムが自動でアクセスを拒否するポリシーなどを実行することで、悪意あるアクセスからシステムを防御できる可能性を高めることができ、セキュリティ向上につながります。

スタッフの「異動」「離職」チェックリスト管理

スタッフが「異動」や「離職」となった場合に実施するための「アクセスチェックリスト」を整備しておく必要があります。

「アクセスチェックリスト」を適切に実施することにより、システムへのユーザーアクセスを適正に管理できます。

ID管理ソリューションを利用すると、このようなタスクを統合的に管理できます。

IT関連一般

その他IT関連一般分野における内部統制項目として、以下のようなものがあります。

・ソフトウェアライセンス管理
・データのバックアップとリカバリー
・システムへのパッチ適用
・ネットワークセキュリティ管理
・Webアプリケーションのセキュリティ維持管理
・セキュリティソフトウェア管理
・変更管理
・セキュリティインシデントの報告義務
・災害復旧および事業継続 など

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

BtoCにおけるID管理のメリット

ID管理のメリット

「デジタルトランスフォーメーション」とは、既存ビジネスモデルからの変化や革新を指します。これは「企業の従業員」「顧客」「サプライヤー」「パートナー」などのエクスペリエンスを向上させることができるデジタル戦略を構築することによって可能になります。

「新しいビジネス戦略」と「新しいデジタル戦略」を確立するために、企業は「敏捷性」「生産性」「セキュリティ」などの要素において、今後のすべての変更をサポートできる柔軟なITインフラストラクチャを必要としています。

その中で、ID管理ソリューションは、サポートするすべての新しい「ビジネスモデル」「アプリケーション」「エコシステム」などにおいて中心的な役割を果たし、安全かつ柔軟かつ適応性のあるITインフラストラクチャを提供します。

これには「新しいデジタルチャネルを通じて顧客エンゲージメントを高める」「ビジネスオペレーション合理化」「データプライバシー保護」「セキュリティ保護」などの効果があり、企業のブランドイメージを高め、収益を向上させるために役立ちます。

CIAM

IAM(Identity and Access Management)の新たな分野として、CIAM(Customer Identity and Access Management)という考え方が登場してきています。

CIAMテクノロジーは、BtoCビジネスに重点をおいたIAMであり、IDデータを活用して顧客を獲得し維持することにより、収益成長促進に役立ちます。

信頼に基づく顧客とのデジタル関係構築

消費者は信頼に基づいたデジタル関係を大切にしており、やり取りする企業がセキュリティと利便性の両方を優先することに期待しています。

デジタル経済が世界レベルで力強く成長し、シームレスなオンライン取引が世界中に浸透したことは、多くの顧客にメリットをもたらせました。しかし、この現象は、オンライン詐欺やオンライン犯罪の増加も招いています。

オンラインビジネスでは、企業と顧客の信頼に基づく有意義なデジタル関係を構築する必要があります。デジタルID認証などのツールを使用すると、企業はより多くのトランザクションを促進し、ブランドロイヤルティを構築でき、顧客からの評判を向上させることができます。

消費者が求める「セキュリティ」と「利便性」

消費者は「利便性」と「シームレスなユーザーエクスペリエンス」を確保するために、事前に個人データを企業と共有する用意があります。しかし、消費者は「使用するデジタルプラットフォームが安全で信頼できることの保証」を求めており、オンライン登録するときにデジタルID検証を実行したいと考えています。

この現象により、多くのオンライン企業にとってデジタルオンボーディングプロセスが重要になります。

消費者の70%以上がオンライン取引の最も重要な部分としてセキュリティを挙げており、デジタルアカウントを作成するときに、より徹底的なオンボーディングプロセスを進んで実行して、後でユーザーエクスペリエンスをシンプルにすることを望んでいるというデータがあります。

このデータは、顧客にとって「セキュリティ」と「利便性」が等しく重要であることを示しており、企業には「顧客ID検証能力」および「ID管理を安全に保つためのプロセス」が求められます。

デジタルID認証のバランス

「セキュリティ」と「利便性」は反比例の関係にあります。適切な「ID管理テクノロジー」と「デジタルID検証方法」を使用して、適切なバランスを見つけることが重要となります。

ID認証プロセスの一部としてバイオメトリクスを使用することは、「セキュリティ」と「利便性」を同時に高めることができる方法として注目されています。

最後に

企業にとって「消費者との信頼確立」はオンラインでビジネスを行う上で最重要な要件となります。

厳格な「オンボーディングプロセス」「チェックアウトプロセス」「デジタルID認証方法実装」などにより、信頼を獲得しつづける必要があります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

ID管理の重要性

ID管理の重要性

多くの脅威からの保護機能

ID管理は、組織の「セキュリティ」と「生産性」の両方に関連しているため、エンタープライズセキュリティ計画の重要な部分となります。

多くの組織では、ユーザーに対して、機能を実行するために必要な数よりも多くのアクセス権限が付与されており、攻撃者は侵害したユーザー資格情報を利用して組織のネットワークとデータへのアクセスが可能となります。

ID管理ソリューションを使用すると、組織は「ハッキング」「ランサムウェア」「フィッシング」「マルウェア」などの多くの脅威から企業資産を保護できます。

ユーザーアクセスのリスク

フィッシング攻撃の標的は特権ユーザー

システムとデータにアクセスできるユーザーは、多くの場合、資格情報を盗むためのフィッシング攻撃の標的になります。

特に、アクセス権が高い特権ユーザーは「高価値データ」「請求・調達・支払いなどのトランザクション」にアクセスできるために、サイバー犯罪者の主要なターゲットとなります。

特権ユーザーをターゲットにする場合、システムにハッキングしようとするよりも、既存のアクセス権を盗む方がはるかに簡単です。異常検出を回避するために該当ユーザーの通常のアクティビティと一致して使用された場合は、発見しづらくなり、早期にデータ侵害を防ぐことは難しくなります。

ユーザーアクティビティを追跡

非常に特権的なアクセス権を持つユーザーは、企業に対して不満を抱えている場合もあり、外部に漏洩させると莫大な金額を入手できる高価値データにもアクセスできるため、最大のリスクをもたらす可能性があります。高度に技術的なユーザーは、自分でシステムログを変更し、疑わしいアクティビティを隠滅することも可能です。

高度なIAM(Identity and Access Management)ソリューションは、「疑わしいアクティビティが外部または内部の犯罪者によって行われたかどうか?」をすばやく検出するのに役立ちます。

システムにパラメータを設定して「疑わしいユーザーアクティビティ」「疑わしい通信」「検出されない可能性のある問題」なども検出できます。

しかし、ユーザーIDやパスワードなどのユーザー情報を適切に管理できるシステムが整っていないと、追跡自体が困難となります。

ユーザーアクセスポリシーとルール

ID管理システムは、ユーザーアクセスポリシーとルールが組織全体に一貫して適用されるようにすることで、保護の層を追加できます。

ID管理をサポートするために必要なポリシーとテクノロジーを備えたフレームワークを提供でき、フェデレーションIDを使用することで、複数の異なるシステムへのアクセスも管理できます。

セキュリティインシデントからの保護

IAMは、多数のユーザーアカウント関連タスクを自動化できるようにすることで、セキュリティインシデントからの保護に役立ちます。

これには「従業員のオンボーディング」「アクセスを許可されたシステムおよびアプリケーションへのアクセスの許可」について、その役割に基づいて行うための自動化されたワークフロー機能が含まれます。

コンプライアンス

サイバーセキュリティにおいて、IDおよびアクセス管理が重要である理由として、組織が規制に準拠する必要があり、「効果的な顧客識別プロセス」「疑わしいアクティビティの検出とレポート」「ID盗難防止の保証および実証」などの必要があるためです。

IAMを活用して、「顧客識別プログラム」「Know Your Customer」「疑わしい活動報告の監視」「ID詐欺防止のための危険信号ルール」などのさまざまな規制要件を管理できます。

最後に

IDおよびアクセス管理は非常に複雑であり、セキュリティリスクの管理において重要な要素となります。

組織のサイバーセキュリティの目的と戦略をサポートするために活用できますが、効果的なIAMを実現するためには、「ユーザーのオンボーディングとID検証」「アクセスの許可と削除」「疑わしいアクティビティの検出」などを運用するためのプロセスと人員も必要です。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

ID管理とは

「ID管理」の概要

ID管理とは、「デジタルID」と「さまざまなアプリケーションやシステム」へのアクセスを安全に管理するためのテクノロジーソリューションです。

「ユーザーの権利と制限」を「確立されたID」に関連付けることにより、ユーザー(グループ)が「アプリケーション」「システム」「ネットワーク」などにアクセスできるように「識別」「認証」「承認」するための組織的なプロセスです。

ID管理システムの管理対象は「ユーザーID」だけではなく、「ソフトウェア」「ハードウェア」「IoTデバイス」などの他種類IDも管理します。

「ID管理」というキーワードは「IT部門が使用するポリシーやツール」を指すこともあり、対象ユーザーを組織が保有するさまざまなリソースに適切なレベルでアクセスできるようにします。

「ID管理」の主な目標

目標

ID管理の主な目標は、認証されたユーザーのみが、許可されている特定の「アプリケーション」「システム」「IT環境」へのアクセスを許可されるようにすることにあります。

「オンボーディング」と「オフボーディング」

ID管理には、「従業員」「パートナー」「クライアント」「その他の利害関係者」などの新しいユーザーをオンボーディングするプロセスが含まれます。

「既存ユーザーのアクセス許可を承認するプロセス制御」の他にも、「アクセスが許可されなくなったユーザーのオフボーディング」も含まれます。

IDガバナンス

ビジネス環境全体で役割とユーザーアクセスを管理する方法をガイドするポリシーとプロセスである「IDガバナンス」もID管理の重要な側面となります。

サイバーセキュリティ

ID管理システムは、エンタープライズリソースへの安全なアクセスを提供する機能を実行するように設計されているため、サイバーセキュリティの重要な要素となります。

「ID管理」の2つのコア機能

ID管理システムは、次の2つの重要なタスクを実行します。

①認証

認証機能とは「エンティティ(ユーザーID)が本人であることの正当性を検証する機能」です。

Webサイトに「ユーザー名+パスワード」を入力すると、Webサイトはデータベースをチェックして、「ユーザー名+パスワード」がデータベースにあるものと一致するかどうかを確認することによりユーザーを認証します。
この例は認証の一形態ですが、最新の認証機能よりも安全性は低くなります。

②承認

承認機能とは「認証されたユーザーがリソースに対してどのようなアクセスを許可されているかを確認し、そのアクセスのみを保証する」機能です。

たとえば、編集者としてコンテンツ管理システムにログインする場合、「コンテンツ変更は許可」「ユーザーアカウント情報変更は不可」のようにアクセス権限を設定できます。

「ID管理」の主な機能

一般的なID管理システムは次の機能を提供します。

①ユーザーID管理機能

ユーザーIDを管理します。

「Active Directory」などの複数のディレクトリと統合した管理も可能です。

②ユーザープロビジョニング機能

ユーザーがアクセスできる「アプリ」「リソース」「アクセスレベル」を設定します。

一般的に、「管理者」「編集者」「閲覧者」など、役割ベースでアクセス制御します。

③ユーザー認証機能

ユーザーがアクセスを要求した場合にユーザーを認証するタスクを実行します。

④ユーザー承認機能

ユーザー認証後、ユーザープロビジョニングに基づいて、必要に応じて特定のアプリやリソースへのアクセスをユーザーに許可します。

⑤レポート機能

ID管理システムは、レポート機能を提供します。

「組織が規制へ準拠していることを証明」「潜在的セキュリティリスク特定」「ID管理およびセキュリティプロセスの改善」などに利用できます。

⑥シングルサインオン機能

シングルサインオンとは、「ユーザーが毎回ログインしたり、さまざまなパスワードを覚えたりすることなく、必要なリソースにすばやく簡単にアクセスできるようにする」機能です。

すべてのID管理システムに含まれているわけではありませんが、「セキュリティ強化」「ユーザー生産性向上」などの多くのメリットがあります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト