ホワイトペーパー抄録 「IT全般統制のために求められたアクセス管理とID統合 ~キヤノンマーケティングジャパン株式会社」 | ScanNetSecurity
2024.05.07(火)

ホワイトペーパー抄録 「IT全般統制のために求められたアクセス管理とID統合 ~キヤノンマーケティングジャパン株式会社」

このコーナーでは、公開されている調査資料・ホワイトペーパーのハイライトを抜粋して紹介します。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
facebookLINE
※本ホワイトペーパーの公開は終了しました※


このコーナーでは、公開されている調査資料・ホワイトペーパーのハイライトを抜粋して紹介します。

日本CA株式会社 http://ca.com/jp/
ホワイトペーパー無料登録
https://www.apj.ca.com/japan/link.cfm?link_id=429

IT全般統制では一般ユーザよりも管理者に重点が置かれています。本ホワイトペーパーでは、OSとデータベースの管理者ユーザに向けたアイデンティティ管理を実施した大規模企業の、プロセスと導入にあたっての課題や、その解決方法が紹介されています。

アクセス管理やID統合などのアイデンティティ管理は、日本版SOX法に対応した企業が、IT全般統制を実現するためにセキュリティポリシーを実装していくうえで現在直面している課題のひとつです。

米国の例では、アイデンティティ管理を初期から導入する企業がある一方で、SOX法対応から1~2年経過した後で、アイデンティティ管理製品を導入するケースも多いようです。アイデンティティ管理がシステム化されていることで、監査の進行がスムーズになり、監査工数や期間を短縮することができます。

もし内部監査でアイデンティティ管理に関する指摘を受けているのであれば、アクセス管理やID統合をツールで実施するのも解決方法のひとつでしょう。

日本CA株式会社が「アイデンティティ管理にまつわる現状とケーススタディPart 1」と題してオンラインで提供する計3部から成るホワイトペーパーでは、

(1)マクロな市場概況(IDC社による調査とマスターカード社事例)
(2)アイデンティティ管理製品の定義及び要件(CA社製品に基づいて詳説)
(3)導入にあたっての課題とその解決方法(キヤノンマーケティング社事例)

を、段階を踏んで知ることができます。今回は(3)のホワイトペーパーから、抜粋して紹介します。

アイデンティティ管理にまつわる現状とケーススタディ
[無料登録] https://www.apj.ca.com/japan/link.cfm?link_id=429


●開発の促進と内部統制の強化を両立させる取り組み

キヤノンマーケティングジャパン(以下、キヤノンMJ)は、2004年3月から内部統制評価プロジェクトをスタートさせ、米国SOX法で義務付けられている内部統制の文書化に取り組んできた。2005年1月には、社長を委員長とする内部統制委員会へと発展させ、経営会議や取締役会などと連絡をとりながら作業を推進してきた。そうした経理部門の作業と並行して、IT本部でも基幹システムの保守・運用に関わるIT全般統制に向けたリスクの洗い出しと、具体的な施策を検討してきた。その取り組みの経緯について、IT本部 ITインフラ部コンピュータインフラ第二課のチーフは次のように振り返る。

「当社のIT本部は、キヤノンMJグループの全体最適という視点で、ITシステム統合に取り組んでいます。2003年には、統合業務パッケージを採用した『C21』という基幹システムを構築し、IT組織とインフラを統合するかたちで、グループ内のIT機能の集約化を推進してきました。」

コンピュータインフラ第二課では、基幹系システムのインフラを担当し、サーバやストレージ、ミドルウェアの導入や運用に携わっている。

「ビジネスとITが密接な関係にある今日、IT抜きではビジネスは成り立ちません。ビジネスのスピードや環境変化に対して、いかにITが追随できるかは、IT本部としての重要なテーマです。当部門でも、業務パッケージを利用するだけではなく、オープンシステム環境で、自社のビジネスをサポートする高度な業務アプリケーションを独自に開発しています。こうした開発環境の強化と並行して、IT全般統制に必要な管理や監査機能を整備していくことが、2005年からの重要な取り組みになっていました」と、第二課チーフは背景について説明する。

●ソースコード管理ツールで開発と運用を仕切りID管理の徹底も図る

キヤノンMJのIT本部によるIT全般統制への取り組みは、外部の監査法人とのやり取りを繰り返し、1%のミスや漏れもない、120点の完成度を目標とする運用・管理体制をめざした。取り組み初期の段階では、「ミスが出ない」ことに重点を置いた「性善説」による管理体制を検討していたが、監査法人からの指摘で「性悪説」に則った厳格なコントロールが求められ、それを可能にするシステムやツールの導入が検討された。取り組みの経緯は以下の手順だという。

「IT本部の業務における内部統制の課題は、アプリケーションやデータベースに対する開発や修正の厳密な管理でした。以前は、一人の開発担当者が管理者権限でログインして、ソースコードの修正から本番環境への反映まで、すべて単独で実行できる運用体制になっていました。監査法人とのミーティングを繰り返すうちに、特定の個人に権限が集中してしまう運用体制は、内部統制の観点から問題があると指摘されたため、その改善策を検討することになりました…」

(本記事は調査資料・ホワイトペーパーの一部抜粋です。各種数値・指標、詳細等全文は各提供元を参照下さい)

アイデンティティ管理にまつわる現状とケーススタディ
[無料登録] https://www.apj.ca.com/japan/link.cfm?link_id=429

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  3. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  4. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  5. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  8. 「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

    「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

  9. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  10. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

ランキングをもっと見る
ホーム 調査・レポート・白書・ガイドライン 調査・ホワイトペーパー 記事
TOP