SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

SOX法対策まで待ったなし!実践アクセス管理

効果的なコンプライアンスを実現するセキュリティとは

第1回

法規制のIT対象領域とセキュリティ

 もちろん、これらの法規制ではIT技術の導入を直接求めているわけではありませんが、IT技術は法規制のコンプライアンスに対応するために検討すべき項目になります。では、これらの法規制に対応するために導入可能なIT技術を整理してみましょう。

 図1は海外の主な規制を整理したものですが、「セキュリティ」のIT技術はすべての規制に対応しています。よって法規制への対応は、企業のビジネスプロセスに対する強力で効果的な「セキュリティ」が必要です。言い換えれば、不正や情報漏えいが起こらないようにするために、IT環境では「いつ」、「どこから」、「誰が」、「何のデータに」アクセスできるのか、アクセスしたのかを明確にする必要があります。これにより、責任の所在が明確になると同時に、何が起こったのかを正確に把握できることでビジネスプロセスが明確になり、説明責任の履行や企業の透明性を証明することができます。このように、IT技術によるセキュリティ管理は法令遵守の核であり基盤であると言うことができます。

図1:主な海外規制の対象領域
図1:主な海外規制の対象領域

法令遵守のためのセキュリティ

 IT環境で各種規制を遵守するためにはさまざまな対象領域があります。図2はその対象領域を外側に、対象領域の安全確保に必要なセキュリティ基盤の要件を内側の円の中に配置してあります。この図からもわかるように、あらゆる法規制の遵守において、セキュリティ管理は心臓部として存在する要件となります。

図2:法規制を遵守するための対象領域とセキュリティ管理の要件
図2:法規制を遵守するための対象領域とセキュリティ管理の要件

セキュリティ管理の要件

 外側にある対象領域の安全性を確保するためのセキュリティ管理の要件は内側の円にありますが、それぞれは以下のとおりです。

アイデンティティ管理

 ユーザが誰で、どのようなアクセス権が与えられているかを管理します。このなかのユーザプロファイルの管理には、ユーザ登録、ユーザ削除、セルフサービス、ユーザ配置の管理、委任機能などのサービスがあります。

プロビジョニング

 「プロビジョニング」とは、ユーザに適切なアカウントと企業リソースへのアクセス権の付与および解除をおこなう機能です。これにより、常に統制のとれたIT環境を保持することができ、継続性のあるコンプライアンス対応が可能となります。

アクセス管理

 アクセスポリシーに従ってユーザアクセスを強制/制御します。アクセスポリシーを実際のアクセス時に強制できなければ、アクセスポリシー自体に意味がなくなってしまいます。ユーザアクセスの制御は、規制対象となるIT環境のすべてで不正がおこなわれる可能性を排除するために実施されなければなりません。

監視および監査

 システムを運用し、効果的に監視、監査および制御することはコンプライアンスにとって不可欠です。セキュリティ管理に重要なプロセスの妥当性と有効性を確保し、ITのコンプライアンスを証明できるようにする必要があります。

次のページ
コンプライアンスへの取り組み

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
SOX法対策まで待ったなし!実践アクセス管理連載記事一覧

もっと読む

この記事の著者

日本CA 大沢 弥(オオサワ ワタル)

日本CA株式会社 マーケティング部 ビジネスユニット・マーケティング マーケティングマネージャー。製造業の電算部門の責任者としてエンドユーザでの開発/運用を14年間経験。その後、外資系ITベンダにてプリセールス、マーケティング担当として開発、モデリング、ポータル、プロジェクト&プロセス、変更管理、運...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/113 2007/09/03 12:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング