どこから手をつけるべきなのか
考えてみてください。あなたの企業がアクセス権限の付与/剥奪の管理を実施しようとしているアイデンティティ管理製品のシステムでは、既にアクセス制御が整っているでしょうか。答えが「No」であれば、そのシステムで実施されているのは、極端に言えば、ユーザID/パスワードだけのアクセス制御であるのかもしれません。IDがあれば中で誰もが何をしても良い、というシステムならそれで問題もないでしょう。しかし、企業の中でそのようなシステムは皆無と言ってもよいはずです。その場合、アクセス制御を整えることがまずは先決なのかもしれません。
「●△□ Access Manager」「×○△ Access Manager」「△□× Access Control」というアクセス制御機能を持ったアクセス管理製品を導入するか、またはアプリケーションに対してアクセス制御機能を独自に組み込むことを検討するべきなのではないでしょうか。
IT全般統制・日本版SOX法対応とIAM
さて、もうひとつ触れておきたいのが、「日本版SOX法対応のために、アイデンティティ管理が必要である」という認識についてです。
「全社的なIT内部統制実現」を目指しているのであれば、ITシステムへのアクセスのベースとなるIDの管理は必要な要素であり、統合アイデンティティ管理はIT内部統制実現に必要な機能であると言えるでしょう。しかし、「日本版SOX法対応のためのIT内部統制」を目指すのであれば、求められる範囲は、極端なことを言ってしまえば財務諸表に関わるエリアだけであり、決して全社的な統合アイデンティティ管理がすぐに求められる訳ではありません。
それよりも、ITシステム上の財務データの完全性を担保するアクセス管理を整備する方が先決と言えます。
アクセス管理機能によって、財務データやアプリケーションに対するアクセス制御をきちんと実施し、不正改ざんを行うことができない環境になっていることが重要です。財務データの完全性を保証するためには、アプリケーション利用のユーザID管理だけではなく、アプリケーションが稼動しているデータベースやOSレベルでのアクセス管理も重要となります。
なぜなら、財務会計アプリケーションへのアクセス管理がおこなわれていても、データベースレベルでデータを自由に変更できてしまうのであれば、財務データの信頼性が保証できないからです。一方、アプリケーションプログラムが自由に変更できてしまうと、適切な会計処理が行われない可能性もあります。
したがって、IT基盤であるOS、データベースにおいてのアクセス制御の実装から先に着手すべきでしょう(経済産業省から発表されている「システム管理基準追補版(財務報告に係るIT統制ガイダンス)」でも、OS、データベースはIT基盤の一部であること、IT全般統制において内外からのアクセス管理を実現する必要があることがわかりやすく示されています)。
ロードマップに沿ったアイデンティティ/アクセス管理の実現
アイデンティティ管理、アクセス管理、この2つの管理は大きく関わりあうものであると1回目にご紹介しました。だからこそ、現在抱えている課題にポイントで対応するのではなく、自社の最終目標を見据えたIAM対応ロードマップを作成し、それに基づいてステップごとに対応を進めていく必要があります。
それはOS、DBのアクセス管理をきちんと実現し、次に「○△□ Access Manager」を導入済のエリアのアクセス管理を実現し、次に「○△□ Identity Manager」で統合アイデンティティ管理を実現する、というシナリオかもしれません。統合アイデンティティ管理ひとつ取っても、先にOS、DBのユーザID管理、次に財務関連アプリケーション、最終的に全アプリケーション、と段階的な導入が考えられます。このステップは企業それぞれで異なるため、自社のリスク分析をすることで、その結果から先に着手すべき個所が見えてきます。
このように、「技術・製品」導入をする場合には、課題解決する製品が後の対応と連携が取れないといったことがないように、綿密に選定する必要があります。関わりあう2つの管理だからこそ、IAMトータルでの運用のしやすさやコストを検討するべきです。