編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内

IAMのキホンを理解する--第1回:IAMとは - (page 2)

金子以澄(日本CA)

2008-03-04 08:00

IAMをITシステムの基盤と位置づけ、整備すること--IT全般統制

 ITによる内部統制を整備すべく様々な取り組みが行われている中で、考慮すべきなのがIAMといえます。

 冒頭でも触れましたが、IT環境にアクセスする際にはユーザIDを使用します。誰がどのような役割を持ち、役割を遂行するため何にアクセスできるようにするか(あるいは、できないようにするか)、そして実際に何にアクセスしたのか──このような内容はすべて「ユーザID」をベースに制御・管理が行われます。

 ユーザIDが実際の人物とマッチしている必要がある訳で、実在しない人物のIDが存在し、それが使用されている、あるいは実際の職種では扱う必要のない他部門のデータにアクセスできるといった状況では、IT統制が取れた環境であるとはいえません。この管理をきちんと行うため、インフラ・基盤としてまずIAMを整備すると、IT統制に効果が発揮されます。

 PC管理でIT統制──そんな対応も良く耳にされると思います。PC上の資産管理やマシンの行動をログとして収集することなどが、PC管理にあたります。実際にユーザが使用するハードウェアであるため、情報漏えい、データ改ざんなどの問題が発生した場合には、末端を管理すれば対処できると考え、こうした管理の導入を検討する場合もあるでしょう。

IT全般統制の”順番”

 もちろん、PC管理も統制整備のための一部であるとは言えます。しかし、ここで管理を整備する順番を考えてみましょう。

 「末端のPC管理を最初に整備すれば、IT全般統制整備の基盤ができるのか」──そう考えると、結局PCからもユーザIDを使用して、PC内のデータやネットワーク上のデータにアクセスするという事実に行き当たります。PCのマシン名ベースで制御を実施する訳ではないことから、「基盤」という観点から見るとやはりIAM整備が先決なのではないでしょうか。

 日本版SOX対応を当面第一に考え、IT全般統制を整備する場合は特に、財務報告に関連するシステムに対するアクセス管理を徹底することが、IT環境上の虚偽・不正がないことを担保することにつながります。

 全くアイデンティティ管理やアクセス管理がなされていない企業は無いと思います。しかしながら抜けがある、統合的に管理されていないというケースは多々耳にします。IAMの基本体系を理解することが、今、自社に必要な対策とは何かを認識する際の一助になることは間違いありません。

 次回はアクセス管理について、より詳しく見ていくことにしましょう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]