社会基盤とアイデンティティ管理 第3回 内部統制の構築とアイデンティティ基盤 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

社会基盤とアイデンティティ管理 第3回 内部統制の構築とアイデンティティ基盤

特集 特集

2. 内部統制の構築とアイデンティティ基盤

(1) 内部統制構築上の課題
SOX法では、正確な財務報告作成のために、関連企業も含めて内部監査を行い、その結果を内部鑑査報告書として提出が義務付けられています。今日、内部統制の構築・運用にはITの活用が有効でありますが、一方でIT自体の内部統制上の欠陥についても指摘されています。その要因としてはアクセス制御の不備が一番に挙げられています。米国と日本における内部統制構築の現状を見てみましょう。

●米国の状況

米国では内部統制上(SOX対応)の欠陥として、不完全な職務分離や会計システムや会計データにおけるアクセスコントロールの不備、特権ユーザに関わる不正処理といったアクセスコントロール上の不備が多く指摘されています。これらの欠陥に対しては、言うまでもなくアクセス権の監視、認証プロセスの可視化、IDの集中管理などのアイデンティティ基盤の整備が有効な対応手段になります。

●日本の状況

金融庁が2009年3月に公表した内部統制報告書によると、内部統制報告書を提出した2670社(本年3月決算企業)のうち、重要な欠陥があり、内部統制が有効でなかった企業は約2%であったとしています。重大な欠陥としては、子会社に対する統制やシステム運用の不備等が挙げられています。また、監査を通じて重大な欠陥には至りませんでしたが、アクセス管理の不備が多くみとめられたことを監査法人では指摘しています。

(2) 内部統制とアイデンティティ基盤

ITを活用した内部統制の構築には、情報に対するセキュリティの確保が不可欠です。特に業務システムや機密情報等へのアクセス制御が重要で、そのためのアイデンティティ管理は内部統制の基礎となるものです。一方で、今日のようにシステムが混在化し複雑化するに従い、アイデンティティ管理も複雑化し、アクセス制御の誤りや不正が発生し易くなります。また内部からの情報漏洩の増加も懸念され、職務分掌の不備・退職者管理の不備・証跡管理の不備などの内部統制上の欠陥が顕在化してくるようになります。
こうした状況の中でアイデンティティの一元管理やシングルサインオン等のアイデンティティ基盤の整備が喫緊の課題になっています。

(執筆:NTTデータ・セキュリティ株式会社 エグゼクティブ・セキュリティマネージャ 林 誠一郎)

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×