SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

SOX法対策まで待ったなし!実践アクセス管理

米国SOX法にみる実際のセキュリティ監査の指摘事項とその対策

第3回

 前回は、財務報告の信頼性を確保するためのIT全般統制について述べました。今回は、実際に米国SOX法にて監査でどの様な指摘が行なわれたのか、またその解決には何が必要なのかと言う観点で進めて行きます。

IT内部統における指摘事項

 資料1は、米国のISACA(情報システムコントロール協会)のSOX法に関するイベントにて発表されたものです。ここに挙げられた内容は、実際に監査を実施した時に指摘した事項がまとめられおり、その内容はセキュリティ上の問題が大半を占めています。それでは、それぞれ少し掘り下げて確認してみましょう。

資料1 IT内部統制におけるよくある問題点のTop 10
資料1 IT内部統制におけるよくある問題点のTop 10

 先にセキュリティ以外のものを簡単にご紹介します。

#7 財務アプリケーションにおけるデータ入力期間の制限

 こちらは「アプリケーション統制」における問題に含まれる部分です。

#9 手作業のプロセスの手続きが定義されていない、もしくは、定義に従っていない

 こちらは「コンピュータオペレーション」における問題です。

#10 システム文書が実際のシステムと食い違っている

 こちらは「プログラム開発、プログラム変更」における問題です。

 さて、残りはすべてセキュリティ、特にアイデンティティ管理、アクセス管理に関わる内容です。

#1 識別されていない、もしくは、解決されない権限の分離の問題

 これは、具体的には費用の申請者と承認者が同じユーザである様な場合を示しています。この場合、申請内容がチェックされる事がなく、不正があったとしてもそのまま承認されることとなるため、統制が成されていないとみなされてしまいます。この様な問題は、システム上でも同様で以下の様な状況で発生する可能性があります。

  • 共有IDの利用

     アプリケーションの共有ID、メンテナンスID、etc

  • 特権ユーザ(Unix、Linuxでのroot 、WindowsでのAdministrator)の貸し出し

#2 財務システムが稼動するOS(UNIX等)のアクセス制御

#3 財務システムに利用されるデータベースが保護されていない

#4 開発スタッフが本番環境の業務トランザクションを実行可能

#8 カスタム開発プログラム、テーブル、インターフェース等が保護されていない

 この4つはひとつにまとめて見ていきたいと思います。この4つでは、本番の財務システム環境におけるデータベース、プログラム、それからOSレベルでも適切なアクセス制御が成されていない事が指摘されています。

 #1、そして#2,#3,#4,#8に対処するためには、それぞれのシステムが「いつ、誰によって、何処から、何によってアクセスされる」という明確な定義と、それをコントロールする方法を用いて必要な権限のみを提供する事が必要です。

  • 何に対して:ファイル、フォルダ、プログラム、プロセス、etc の保護対象
  • 誰が:個人の識別が可能なID管理
  • いつ:日付、時間などのアクセスタイミング
  • 何処から:コンソール、開発端末、業務端末、情報登録端末、情報参照端末、etc
  • 何によって:通信方法、コマンド、プログラム、etcのアクセス元

 次を見てみましょう。

次のページ
#5 多数のユーザが本番環境の管理者ID(スーパーユーザ)を利用可能な状態

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
SOX法対策まで待ったなし!実践アクセス管理連載記事一覧

もっと読む

この記事の著者

日本CA 木村 健(キムラ ケン)

日本CA株式会社 セキュリティ ソリューション セールス部 テクニカル ソリューション グループシニア コンサルタント。国内SIer、ベンチャー等でを経て日本CAへ入社。日本CAでは、運用管理製品やウイルス対策製品、ネットワークセキュリティ製品などを担当し、現在はCA Access Controlを...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/335 2008/04/21 14:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング