さて、ここで、情報セキュリティに注目して、実施基準案の例から、いくつかの対策を考えてみたいと思います。
実施基準案の基本的枠組みでは、全般統制を整備するための具体例として、次の2つを挙げています。
| (1) |
システムの開発又は変更に際して、当該システムの開発又は変更が既存のシステムと 整合性を保っていることを十分に検討するとともに、開発・変更の過程等の記録を適切に保存する。 |
| (2) |
プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じる。 |
(1)において、COBIT 4.0ではシステム開発の統制目標を規定しています。たとえば、アプリケーションセキュリティとアベイラビリティを定めた項目では、データ分類、組織の情報セキュリティ体制、リスクに対応してアプリケーションセキュリティとアベイラビリティを計画しなければならないとしています。また、システム変更についても統制目標が細かく示されています。
(2)については、主にアクセス管理についての統制目標が規定されています。特に、アイデンティティ管理(以下、ID管理)を定めた項目では、次の5つの統制目標をあげています(和訳は、日本ネットワークセキュリティ協会ワークグルーブによります)。
| ■ |
共有IDの禁止 |
| |
ITシステム上での全てのユーザ(内部、外部、一時的なもの)とその作業(ビジネスアプリケーション、システムオペレーション、開発、メンテナンス)は一意のものとして区別されなければならない |
| ■ |
役割ベースのアクセス制御 |
| |
ユーザのシステムやデータへのアクセス権は定義づけされていて文書化された業務ニーズと職務要件と一致していなければならない |
| ■ |
承認ワークフローおよび職務の分離 |
| |
ユーザのアクセス権の変更はユーザ管理者によってリクエストされ、システム所有者によって承認され、セキュリティ責任者によって実際に導入されること |
| ■ |
ID情報の集中管理 |
| |
ユーザのIDやアクセス権はセントラルレポジトリ内で維持されること |
| ■ |
ID作成、認証、アクセス権設定の自動化 |
| |
ユーザのID割り当てや認証の実施、アクセス権の強制的設定のための、費用対効果の高い技術的、運用的対策は最新のもので実施、維持されること |
このように、COBIT統制目標を検証してみると、基準案の「アクセス管理等」と記されている点は単にアクセス管理だけを指しているのではなく、IDやパスワードといったID管理も包含して内部統制整備で検討すべきといえるでしょう。また、職務の分離のように、組織の体制や業務プロセスに関する整備作業も必要ですし、システムのみならず、物理的なアクセス制限など広義のアクセス管理といったことも考慮するのが望ましいでしょう。 |
PDFファイルをご覧いただくには、Adobe® Reader®が必要です。アドビシステムズ社のウェブサイトより、ダウンロード(無料)の上ご覧ください。
印刷用画面へ
