【第3回】IT内部統制を支援するセキュリティ製品の位置づけと役割

前回まで、IT全般統制の中で求められている「プログラムとデータへのアクセス」における問題点と、アイデンティティ管理、アクセス制御の重要性について述べてきた。今回の3回目では、改めて「システムの利用条件」への制御と説明責任を実現する3つの領域を詳解しながら、独立系ベンダーである日本CAのIT内部統制の支援に向けたセキュリティ製品を例に紹介する。

IT内部統制のセキュリティを実現する3つの領域

　はじめに、IT内部統制におけるセキュリティの位置づけを改めて考えてみたい。IT全般統制においては、システムをどのように利用するのかが厳しく問われるため、「不正な利用をさせない」、「正確な利用しか許さない」、「利用したらその証拠を残す」、の3点のセキュリティが重要になる。つまり、4W1Hで、誰が、どのように利用していいのかを決め、それをどうやって実行に移すか、さらにどのようにして記録するか、が非常に重要な問題になる。それが「システムの利用条件」への制御と説明責任となる。

　それが前回でも触れた、Enable（権限付与）、Enforce（強制）、Audit/Monitor（監査／監視）の3つの領域で実現されることとなる。ここが極めて重要となるので、改めてこの3つを詳しく見ていくことにする。

　まず、Enable（権限付与）とは、システムにおけるIDとアクセス権をきちんと定義しようということである。あるシステムに対して、誰がどのように利用して良いのか（あるいはしてはいけないのか）ということを決めるものだが、そこで忘れてはならないのは、システムはただの道具に過ぎず、各業務フローの中で決められた事を厳格に活かされなければならないといいうことだ。

　通常、業務フローの中にはそれが明記され、業務フローを全てかき集めるとシステムへのアクセス権一覧が収集できる。それを整理すると、システムのアクセスポリシーやアクセスコントロールリスト（ACL）になるのだ。当然ながら、そこには個人名が出ることはなく、基本的には役割ベースとなり、どんな役割の人がどのようにシステムを使うのか、そして誰がその役割なのかをきちんと定義することが重要となる。

日本CA株式会社
セキュリティマネジメント
プリセールス ディレクター
鈴木 良信氏

権限付与と強制の不可欠な連携

　また、Enforce（強制）とは、上記のEnableで定義されたアクセス権を実行すること。ここで重要になるのは、運用で制御するのか、はたまたシステム的に制御するのかの問題だ。極端な例だが、「決まった人しかアクセスできません」としながら、実はシステム的にはなんら制限がかかっていないケースを考えてみる。「皆に注意しているからアクセス制御している」といえないこともないが、内部統制活動でアクセス制御を実施していると証明するにはあまりにも根拠が弱すぎる。そのため、今後はシステム的に制御をかけ、裏口を全て塞ぐような対策が必要となるだろう。

　ここで注意しなければならないのは、“Enableで定義したアクセス権がアクセス制御側のシステムで本当に実現できているか”ということ。つまり、役割ベースで対策してもシステム側で役割ベースの考え方を持っていなかった場合問題となる。権限のレベルを定義しているにもかかわらず、実際のアクセス制御ではアクセスが、できる／できないのレベルでしか定義されていなければ、不正な書き込みが起こる可能性もある。そのためEnforceでは必要な機能を4W1H（What：どのシステム／データに、Who：誰が、When：いつ／どのタイミングで、Where：どこから、How：何を使って）で装備することが求められる。この4W1Hが整っていれば、通常のアクセス権管理は概ねカバーできる。