前回は、財務報告の信頼性を確保するためのIT全般統制について述べました。今回は、実際に米国SOX法にて監査でどの様な指摘が行なわれたのか、またその解決には何が必要なのかと言う観点で進めて行きます。
IT内部統における指摘事項
資料1は、米国のISACA(情報システムコントロール協会)のSOX法に関するイベントにて発表されたものです。ここに挙げられた内容は、実際に監査を実施した時に指摘した事項がまとめられおり、その内容はセキュリティ上の問題が大半を占めています。それでは、それぞれ少し掘り下げて確認してみましょう。

先にセキュリティ以外のものを簡単にご紹介します。
#7 財務アプリケーションにおけるデータ入力期間の制限
こちらは「アプリケーション統制」における問題に含まれる部分です。
#9 手作業のプロセスの手続きが定義されていない、もしくは、定義に従っていない
こちらは「コンピュータオペレーション」における問題です。
#10 システム文書が実際のシステムと食い違っている
こちらは「プログラム開発、プログラム変更」における問題です。
さて、残りはすべてセキュリティ、特にアイデンティティ管理、アクセス管理に関わる内容です。
#1 識別されていない、もしくは、解決されない権限の分離の問題
これは、具体的には費用の申請者と承認者が同じユーザである様な場合を示しています。この場合、申請内容がチェックされる事がなく、不正があったとしてもそのまま承認されることとなるため、統制が成されていないとみなされてしまいます。この様な問題は、システム上でも同様で以下の様な状況で発生する可能性があります。
- 共有IDの利用
アプリケーションの共有ID、メンテナンスID、etc
- 特権ユーザ(Unix、Linuxでのroot 、WindowsでのAdministrator)の貸し出し
#2 財務システムが稼動するOS(UNIX等)のアクセス制御
#3 財務システムに利用されるデータベースが保護されていない
#4 開発スタッフが本番環境の業務トランザクションを実行可能
#8 カスタム開発プログラム、テーブル、インターフェース等が保護されていない
この4つはひとつにまとめて見ていきたいと思います。この4つでは、本番の財務システム環境におけるデータベース、プログラム、それからOSレベルでも適切なアクセス制御が成されていない事が指摘されています。
#1、そして#2,#3,#4,#8に対処するためには、それぞれのシステムが「いつ、誰によって、何処から、何によってアクセスされる」という明確な定義と、それをコントロールする方法を用いて必要な権限のみを提供する事が必要です。
- 何に対して:ファイル、フォルダ、プログラム、プロセス、etc の保護対象
- 誰が:個人の識別が可能なID管理
- いつ:日付、時間などのアクセスタイミング
- 何処から:コンソール、開発端末、業務端末、情報登録端末、情報参照端末、etc
- 何によって:通信方法、コマンド、プログラム、etcのアクセス元
次を見てみましょう。
この記事は参考になりましたか?
- SOX法対策まで待ったなし!実践アクセス管理連載記事一覧
-
- 米国SOX法にみる実際のセキュリティ監査の指摘事項とその対策
- 日本版SOX法では「財務報告の信頼性」を確保するための「IT全般統制」が必要
- 効果的なコンプライアンスを実現するセキュリティとは
- この記事の著者
-
日本CA 木村 健(キムラ ケン)
日本CA株式会社 セキュリティ ソリューション セールス部 テクニカル ソリューション グループシニア コンサルタント。国内SIer、ベンチャー等でを経て日本CAへ入社。日本CAでは、運用管理製品やウイルス対策製品、ネットワークセキュリティ製品などを担当し、現在はCA Access Controlを...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア