社会基盤とアイデンティティ管理 第3回 内部統制の構築とアイデンティティ基盤 | ScanNetSecurity
2024.05.22(水)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

社会基盤とアイデンティティ管理 第3回 内部統制の構築とアイデンティティ基盤

2. 内部統制の構築とアイデンティティ基盤

特集 特集
2. 内部統制の構築とアイデンティティ基盤

(1) 内部統制構築上の課題
SOX法では、正確な財務報告作成のために、関連企業も含めて内部監査を行い、その結果を内部鑑査報告書として提出が義務付けられています。今日、内部統制の構築・運用にはITの活用が有効でありますが、一方でIT自体の内部統制上の欠陥についても指摘されています。その要因としてはアクセス制御の不備が一番に挙げられています。米国と日本における内部統制構築の現状を見てみましょう。

●米国の状況

米国では内部統制上(SOX対応)の欠陥として、不完全な職務分離や会計システムや会計データにおけるアクセスコントロールの不備、特権ユーザに関わる不正処理といったアクセスコントロール上の不備が多く指摘されています。これらの欠陥に対しては、言うまでもなくアクセス権の監視、認証プロセスの可視化、IDの集中管理などのアイデンティティ基盤の整備が有効な対応手段になります。

●日本の状況

金融庁が2009年3月に公表した内部統制報告書によると、内部統制報告書を提出した2670社(本年3月決算企業)のうち、重要な欠陥があり、内部統制が有効でなかった企業は約2%であったとしています。重大な欠陥としては、子会社に対する統制やシステム運用の不備等が挙げられています。また、監査を通じて重大な欠陥には至りませんでしたが、アクセス管理の不備が多くみとめられたことを監査法人では指摘しています。

(2) 内部統制とアイデンティティ基盤

ITを活用した内部統制の構築には、情報に対するセキュリティの確保が不可欠です。特に業務システムや機密情報等へのアクセス制御が重要で、そのためのアイデンティティ管理は内部統制の基礎となるものです。一方で、今日のようにシステムが混在化し複雑化するに従い、アイデンティティ管理も複雑化し、アクセス制御の誤りや不正が発生し易くなります。また内部からの情報漏洩の増加も懸念され、職務分掌の不備・退職者管理の不備・証跡管理の不備などの内部統制上の欠陥が顕在化してくるようになります。
こうした状況の中でアイデンティティの一元管理やシングルサインオン等のアイデンティティ基盤の整備が喫緊の課題になっています。

(執筆:NTTデータ・セキュリティ株式会社 エグゼクティブ・セキュリティマネージャ 林 誠一郎)

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性 画像

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性
マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件 画像

マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件
Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ 画像

Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report) 画像

runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)
DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に 画像

DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に
サイボウズGaroon に複数の脆弱性 画像

サイボウズGaroon に複数の脆弱性

インシデント・事故 記事一覧へ

ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性 画像

ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性
ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード 画像

ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード
セガ フェイブへの不正アクセス、新たに 3 件のアカウントで被害判明 画像

セガ フェイブへの不正アクセス、新たに 3 件のアカウントで被害判明
「松井酒造合名会社 ECサイト」に不正アクセス、174 名分のカード情報が漏えい 画像

「松井酒造合名会社 ECサイト」に不正アクセス、174 名分のカード情報が漏えい
日本取引所グループのメールアドレスから不審メール送信 画像

日本取引所グループのメールアドレスから不審メール送信
メーラーが最新バージョンでなかった ~ 国公文協の委託先事業者に不正アクセス 画像

メーラーが最新バージョンでなかった ~ 国公文協の委託先事業者に不正アクセス

調査・レポート・白書・ガイドライン 記事一覧へ

GMOイエラエ「軽量暗号 Ascon などに関わる標準化動向調査」が CRYPTREC に公開 画像

GMOイエラエ「軽量暗号 Ascon などに関わる標準化動向調査」が CRYPTREC に公開
日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート 画像

日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート
脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺 画像

脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺
サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査 画像

サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査
Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」 画像

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」
ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表 画像

ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表

研修・セミナー・カンファレンス 記事一覧へ

実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大 画像

実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大
攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート 画像

攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート
講師 小山覚氏 ~ IISEC 20周年記念リレー講座、対マルウェア攻防20年を振り返る 画像

講師 小山覚氏 ~ IISEC 20周年記念リレー講座、対マルウェア攻防20年を振り返る
毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ~ AeyeScan「診断マネジメントプラットフォーム」 画像

毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ~ AeyeScan「診断マネジメントプラットフォーム」
セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ~ 5/23 解説セミナー開催 画像

セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ~ 5/23 解説セミナー開催
脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説 画像

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説

製品・サービス・業界動向 記事一覧へ

アクセリア、GMO イエラエの「Webセキュリティ診断」「ペネトレーションテスト」提供 画像

アクセリア、GMO イエラエの「Webセキュリティ診断」「ペネトレーションテスト」提供
ラックが2024年3月期 通期決算を公表、売上高は前期比12.4%増 画像

ラックが2024年3月期 通期決算を公表、売上高は前期比12.4%増
バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売 画像

バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売
インターポール捜査官に向け「Kaspersky Expert Training」5年連続で提供 画像

インターポール捜査官に向け「Kaspersky Expert Training」5年連続で提供
「AWS Marketplace」でプルーフポイント Human-Centric セキュリティソリューション利用可能に 画像

「AWS Marketplace」でプルーフポイント Human-Centric セキュリティソリューション利用可能に
「Cloudbase」が Oracle Cloud Infrastructure 対応 画像

「Cloudbase」が Oracle Cloud Infrastructure 対応

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×