IT内部統における指摘事項
資料1は、米国のISACA(情報システムコントロール協会)のSOX法に関するイベントにて発表されたものです。ここに挙げられた内容は、実際に監査を実施した時に指摘した事項がまとめられおり、その内容はセキュリティ上の問題が大半を占めています。それでは、それぞれ少し掘り下げて確認してみましょう。
資料1 IT内部統制におけるよくある問題点のTop 10
先にセキュリティ以外のものを簡単にご紹介します。
#7 財務アプリケーションにおけるデータ入力期間の制限
こちらは「アプリケーション統制」における問題に含まれる部分です。
#9 手作業のプロセスの手続きが定義されていない、もしくは、定義に従っていない
こちらは「コンピュータオペレーション」における問題です。
#10 システム文書が実際のシステムと食い違っている
こちらは「プログラム開発、プログラム変更」における問題です。
さて、残りはすべてセキュリティ、特にアイデンティティ管理、アクセス管理に関わる内容です。
#1 識別されていない、もしくは、解決されない権限の分離の問題
これは、具体的には費用の申請者と承認者が同じユーザである様な場合を示しています。この場合、申請内容がチェックされる事がなく、不正があったとしてもそのまま承認されることとなるため、統制が成されていないとみなされてしまいます。この様な問題は、システム上でも同様で以下の様な状況で発生する可能性があります。
- 共有IDの利用
アプリケーションの共有ID、メンテナンスID、etc
- 特権ユーザ(Unix、Linuxでのroot 、WindowsでのAdministrator)の貸し出し
#2 財務システムが稼動するOS(UNIX等)のアクセス制御
#3 財務システムに利用されるデータベースが保護されていない
#4 開発スタッフが本番環境の業務トランザクションを実行可能
#8 カスタム開発プログラム、テーブル、インターフェース等が保護されていない
この4つはひとつにまとめて見ていきたいと思います。この4つでは、本番の財務システム環境におけるデータベース、プログラム、それからOSレベルでも適切なアクセス制御が成されていない事が指摘されています。
#1、そして#2,#3,#4,#8に対処するためには、それぞれのシステムが「いつ、誰によって、何処から、何によってアクセスされる」という明確な定義と、それをコントロールする方法を用いて必要な権限のみを提供する事が必要です。
- 何に対して:ファイル、フォルダ、プログラム、プロセス、etc の保護対象
- 誰が:個人の識別が可能なID管理
- いつ:日付、時間などのアクセスタイミング
- 何処から:コンソール、開発端末、業務端末、情報登録端末、情報参照端末、etc
- 何によって:通信方法、コマンド、プログラム、etcのアクセス元
次を見てみましょう。
