IAMのキホンを理解する--第1回:IAMとは - (page 2)

金子以澄(日本CA)

2008-03-04 08:00

IAMをITシステムの基盤と位置づけ、整備すること--IT全般統制

 ITによる内部統制を整備すべく様々な取り組みが行われている中で、考慮すべきなのがIAMといえます。

 冒頭でも触れましたが、IT環境にアクセスする際にはユーザIDを使用します。誰がどのような役割を持ち、役割を遂行するため何にアクセスできるようにするか(あるいは、できないようにするか)、そして実際に何にアクセスしたのか──このような内容はすべて「ユーザID」をベースに制御・管理が行われます。

 ユーザIDが実際の人物とマッチしている必要がある訳で、実在しない人物のIDが存在し、それが使用されている、あるいは実際の職種では扱う必要のない他部門のデータにアクセスできるといった状況では、IT統制が取れた環境であるとはいえません。この管理をきちんと行うため、インフラ・基盤としてまずIAMを整備すると、IT統制に効果が発揮されます。

 PC管理でIT統制──そんな対応も良く耳にされると思います。PC上の資産管理やマシンの行動をログとして収集することなどが、PC管理にあたります。実際にユーザが使用するハードウェアであるため、情報漏えい、データ改ざんなどの問題が発生した場合には、末端を管理すれば対処できると考え、こうした管理の導入を検討する場合もあるでしょう。

IT全般統制の”順番”

 もちろん、PC管理も統制整備のための一部であるとは言えます。しかし、ここで管理を整備する順番を考えてみましょう。

 「末端のPC管理を最初に整備すれば、IT全般統制整備の基盤ができるのか」──そう考えると、結局PCからもユーザIDを使用して、PC内のデータやネットワーク上のデータにアクセスするという事実に行き当たります。PCのマシン名ベースで制御を実施する訳ではないことから、「基盤」という観点から見るとやはりIAM整備が先決なのではないでしょうか。

 日本版SOX対応を当面第一に考え、IT全般統制を整備する場合は特に、財務報告に関連するシステムに対するアクセス管理を徹底することが、IT環境上の虚偽・不正がないことを担保することにつながります。

 全くアイデンティティ管理やアクセス管理がなされていない企業は無いと思います。しかしながら抜けがある、統合的に管理されていないというケースは多々耳にします。IAMの基本体系を理解することが、今、自社に必要な対策とは何かを認識する際の一助になることは間違いありません。

 次回はアクセス管理について、より詳しく見ていくことにしましょう。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]