社会基盤とアイデンティティ管理　第3回　内部統制の構築とアイデンティティ基盤

2. 内部統制の構築とアイデンティティ基盤

(1) 内部統制構築上の課題
SOX法では、正確な財務報告作成のために、関連企業も含めて内部監査を行い、その結果を内部鑑査報告書として提出が義務付けられています。今日、内部統制の構築・運用にはITの活用が有効でありますが、一方でIT自体の内部統制上の欠陥についても指摘されています。その要因としてはアクセス制御の不備が一番に挙げられています。米国と日本における内部統制構築の現状を見てみましょう。

●米国の状況

米国では内部統制上(SOX対応)の欠陥として、不完全な職務分離や会計システムや会計データにおけるアクセスコントロールの不備、特権ユーザに関わる不正処理といったアクセスコントロール上の不備が多く指摘されています。これらの欠陥に対しては、言うまでもなくアクセス権の監視、認証プロセスの可視化、IDの集中管理などのアイデンティティ基盤の整備が有効な対応手段になります。

●日本の状況

金融庁が2009年3月に公表した内部統制報告書によると、内部統制報告書を提出した2670社(本年3月決算企業)のうち、重要な欠陥があり、内部統制が有効でなかった企業は約2％であったとしています。重大な欠陥としては、子会社に対する統制やシステム運用の不備等が挙げられています。また、監査を通じて重大な欠陥には至りませんでしたが、アクセス管理の不備が多くみとめられたことを監査法人では指摘しています。

(2) 内部統制とアイデンティティ基盤

ITを活用した内部統制の構築には、情報に対するセキュリティの確保が不可欠です。特に業務システムや機密情報等へのアクセス制御が重要で、そのためのアイデンティティ管理は内部統制の基礎となるものです。一方で、今日のようにシステムが混在化し複雑化するに従い、アイデンティティ管理も複雑化し、アクセス制御の誤りや不正が発生し易くなります。また内部からの情報漏洩の増加も懸念され、職務分掌の不備・退職者管理の不備・証跡管理の不備などの内部統制上の欠陥が顕在化してくるようになります。
こうした状況の中でアイデンティティの一元管理やシングルサインオン等のアイデンティティ基盤の整備が喫緊の課題になっています。

（執筆：NTTデータ・セキュリティ株式会社　エグゼクティブ・セキュリティマネージャ　林誠一郎）

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/