内部統制のためのアイデンティティ管理 導入や運用における落とし穴とは

		アイデンティティ管理を導入しさえすればいいのか

　　いわゆる日本版SOX法の、実務上の指針である「財務報告に係る内部統制の評価及び監査に関する実施基準」では、ITシステムへのアクセス管理がIT統制の評価項目として明示されている。これを一つのきっかけとして、日本企業の間でアイデンティティ管理製品の検討や導入への動きが活発化している。適切なアクセス管理を関連システム全体にわたって確保するため、各種アプリケーションやシステムにまたがって統合的にアカウントとアクセス権限の管理・運用を実現できるアイデンティティ管理の意義がより広く認識されるようになってきたのだ。では、何らかのアイデンティティ管理製品を導入しさえすれば、日本版SOX法などの内部統制で求められるアクセス管理の統制は実現できるのだろうか。残念ながらそうではない。

　内部統制のためのアイデンティティ管理を、予防的統制と発見的統制の2つの側面に分けて考えると分かりやすい。

アイデンティティ管理は、予防的統制と発見的統制の双方ではじめて完結する（クリックで拡大表示します）

　予防的統制とは、各ユーザーの職務内容に応じて、適切なシステムに対する適切なアクセス権限の付与や剥奪を実施することだ。アイデンティティ管理の世界では「ユーザー・プロビジョニング」などとも呼ばれている作業だ。必要以上のアクセス権限を与えないことで、システムに対する不正な操作をあらかじめ防止することが可能となる。これはアイデンティティ管理製品の基本的機能で、製品により優劣の違いはあるものの、必ず備わっているといってもいい。これまではアイデンティティ管理というと、この側面にのみ注目が集まり、アイデンティティ管理製品の優劣もこの側面のみで比較されてきた。

　重要性が見落とされがちなのは発見的統制のほうだ。ユーザー・プロビジョニングの処理ログではなく、各種システムに実際に格納されているアクセス権限設定を確認し、誤りがあればこれを修正する作業のことである。「アイデンティティ監査」といってもいい。内部統制は一度だけの対策では済まず、PDCA（Plan、Do、Check、Act）サイクルを回していく必要があるが、予防的統制がPlanとDoだとすれば、発見的統制はCheckとActに当たるものだといえる。予防的統制と発見的統制は車の両輪のようなもので、どちらが欠けてもアクセス管理の観点からの内部統制の有効性をキープすることができない。予防と発見という2つの側面をうまくつなぎ、自動化してはじめてコンプライアンスのレベルを上げていくことができる。

		発見的統制の自動化は大幅なコスト削減につながる

　では発見的統制について、具体的に考えてみよう。

　例えば日本版SOX法の目的は、財務報告の正確性の確保だ。決算数字が正確であるためには、これにつながる財務データが正確であることを証明できなければならない。そのためには例えば、受発注システムにいったん入力された数字は修正されない、言い換えれば正規の受発注システムへの入力担当者以外は、誰もこのシステム上で修正を加える権限が与えられていないということを明らかにできなければならない。

　ユーザー・プロビジョニングの作業においては当然、入力担当者以外には修正権限が与えられないということを十分考慮したアクセス権限設定がなされるはずだ。また人事異動などによって入力担当者や承認者が代わることになった場合にも、ユーザー・プロビジョニングは前任者のアクセス権限を剥奪し、一方で新任者に必要なアクセス権限を適切に付与することができる。問題は、ユーザー・プロビジョニングによって管理することが原理的にできないアクセス権限の変更をどう管理するかにある。

　システムの管理はその運用担当者が行うが、この担当者がユーザー・プロビジョニングとは無関係に、そのシステム上のアカウントやアクセス権限を変更することはないと、はたして証明できるだろうか。あるいは、ユーザー・プロビジョニングを導入する以前から存在するアカウントに付与されているアクセス権限が適切であると、具体的な証拠をもとに主張できるだろうか。こうした「ユーザー・プロビジョニングによって統制できないアクセス権限」をも把握し、正しいアクセス管理が維持されていることを、はっきりと示していくことのできる体制が求められる。外部の監査の場合も、内部の監査担当者によるサンプリングの場合もあるだろうが、定期的あるいは随時にチェックを受けられる準備ができていなければならない。

　多くの企業ではアクセス管理についての監査への対応を、手作業で行おうとしている。しかし、少数のケースのサンプル調査に限定される場合であっても、例えば四半期ごとに数十人から、場合によっては数百人について手作業でチェックするとなると、膨大なコストが掛かる。サン・マイクロシステムズの場合、社内のERPシステムに関するアクセス権限のチェックと是正のため、外部コンサルタントに対し、四半期ごとに作業費用として10万ドル（約1,200万円）を支払っていたという。

　つまり、内部統制の観点からアイデンティティ管理製品に望まれる重要な機能として、アイデンティティ監査の自動化が挙げられる。例えばサン・マイクロシステムズの「Sun Java System Identity Manager」では、企業としての内部統制のためのアクセス権限関連のルールに基づいて、統合管理されているすべてのユーザーのすべてのシステムに対するアクセス権を自動的に一括してスキャンし、ルール違反の設定が存在していないかどうかをレポートとして出力する。ルールからはずれたアクセス権設定が発見されると、これらはリスト表示される。全社的なアクセス権管理の担当者はこれを見て、適切な責任者に確認した後、同じ画面に示される修正ボタンを押して修正するか、自ら明示的に設定変更を行うことができる。

		職務分掌をどう明確に運用していくか

　多くの企業に見られる内部統制上の欠陥の例としては、システムの開発者が、業務処理を行える権限を持ったままの状態になっている、財務システムについては適切なアクセス管理がなされていても、その下で動いているOSやデータベースへのアクセス権が十分に管理されていない、退職した社員や、契約切れの外部コンサルタントのアクセス権が放置されている、などがある。

　上のようなITに直接かかわる問題と同様に重要であり、対応がより困難なのは、職務分掌のチェックだ。振り込み担当者が振込先情報を操作できる、購入注文管理を行う担当者が原価の承認権限も有している、といったように、典型的には作業者や申請者が、承認者の権限も与えられているようであれば、その企業の財務報告の信頼性には疑問符をつけざるを得ない。

　従って、企業としてはまず、職務分掌ルールを明確かつ詳細に定義する必要がある。その上で、これを現実のITシステムに適用していく作業をできるだけ自動化していかなければならない。

　職務分掌ルールは通常、「原価の承認と購買業務の権限を同時に持っていてはいけない」といった抽象的な形で書かれる。適用においては、実際の業務でどのような機能が該当するかを表としてまとめ、これをベースにチェックを進めていく必要がある。

　例えば従来のやり方では、ERPアプリケーションの画面IDに基づき、「この画面とこの画面が両方使えるようになっているということはこの2つの相反する職責が同じ人間に割り当てられているので違反」といったことを紙上で定義しておき、ERPアプリケーションのアクセス権限リストと照らし合わせて人間がチェックする。すでに述べたように、これは膨大なコストの掛かる作業だ。

　Sun Java System Identity Managerでは、まずスプレッドシート形式で書かれた職務分掌ルールを具体的なITの言葉に変換する機能を備えている。そしてこれに基づいて、定期あるいは随時の監査スキャンを自動的に行うことができる。このため手作業として残るのは、出発点となる企業としての職務分掌ルールを決めることだけだ。

上はスプレッドシートで作成された社内の職務分掌ルールの例。職務名と、その職務を行う担当者がアクセス可能なERPの画面名が示されている（クリックで拡大表示します）	左のようなルールをアイデンティティ管理のポリシーに自動変換して適用。適用中のポリシーが社内ルールに合致しているかは、上のような監査レポートで適宜表示できる（クリックで拡大表示します）

　「アイデンティティ管理製品」とは銘打っていても、このようなルール変換機能や自動監査スキャン機能を通じた発見的統制が自動化できないのであれば、内部統制やコンプライアンスの検証作業は効率化できず、コストも減らすことができない。チェック作業そのものの確度を上げることもできない。

		ベースとしての予防的統制の重要性

　これまで発見的統制の重要性を説明してきたが、予防的統制を軽んじてよいというわけではない。ここでは特に3つの重要なポイントを簡単に紹介したい。

　一つは拡張性の高いシステムであることの必要性だ。企業として利用する重要なシステムがくまなくカバーできてこそ、統合アクセス管理ソリューションとしてのアイデンティティ管理製品は活きてくる。Sun Java System Identity Managerの場合、エージェントレスのアーキテクチャがこれに大きく貢献している。エージェントのここでの意味は、管理対象となるアプリケーションと連携する上で別途組み込まなくてはならないプログラムのことだが、同製品ではこうしたプログラムを必要とせず、各アプリケーション固有のプロトコルやAPIを活用して接続する。このため、すでに稼働中のシステムから、今後利用するケースが増えるであろうSaaSによるアプリケーションに至るまで、あらゆるシステムを取り込むことができる。

　アイデンティティ管理ソリューションの導入において、各業務システムの責任者やユーザー部門の了解が得られずに頓挫するケースがあるが、エージェントが不要のソリューションならば反対される理由は格段に少なくなる。

　拡張性に関連していえば、アイデンティティ管理システムに多様な操作権限を設定できるという点も重要だ。特定の業務システムや拠点、管理機能だけを担当するアイデンティティ管理者を設定して管理業務を分担する、内部監査役に対してアイデンティティ監査レポートをチェックする権限だけを与えられるなど、さまざまな立場からアイデンティティ管理に適切な権限のもとで関われるような仕組みが用意されていれば、人による作業を含めた内部統制のための体制そのものの拡張性を高めることができる。

　2つ目はワークフロー機能の充実だ。職務分掌を徹底していくためには、日常の運用においても、承認担当者のシステムアカウントを他の人が使い回すなどのことが起こってはならない。しかし、そうはいっても出張や欠勤などの都合でどうしても承認者が業務を行えない場合がある。その際にも、社内ルールに基づいて、本人が適切な他者を指名して承認の代行を明示的に申請し、承認者の上長の承認を得るようにするなどの対策が必要だ。このように、システムへのアクセス権限委譲に関するワークフローの機能は、日常業務においてルールの遵守と現実に対応するための柔軟性を両立させるために重要だ。

　 3つ目はアイデンティティ管理に関し、ログや証跡の保存とチェックが行えるようになっていることである。アイデンティティ管理が内部統制において重要な役割を担うということはすなわち、アイデンティティ管理作業自体の正当性も問われることを意味する。上記のアクセス権委譲に関する承認を含め、すべてのアイデンティティ管理作業は、第三者によるレビューのために記録されなければならない。

◆　◇　◆　◇　◆

　アイデンティティ管理は、どんなものでもいいから製品を導入しさえすればよいというものではない。内部統制の観点からは、まず社内の職務分掌ルールの確立が求められる。さらに予防的統制、発見的統制を統合的に運用できる仕組みを採用することで自動化をはかり、PDCAサイクルを回していくことが肝要だといえる。このほかにもアイデンティティ管理製品の選択や利用についてはさまざまな考慮点がある。詳しくはホワイトペーパーをお読みいただきたい。

TechTarget ホワイトペーパー

アイデンティティ管理ソリューション選定・導入のためのガイド 　本書は、現在アイデンティティ管理ソリューションを検討しているユーザーを対象に、正しいソリューションの選択に役立つ情報とツールを紹介する。 　 本書の最初の章は、ホワイトペーパーになっており、ビジネスとセキュリティの傾向について調査し、今日の課題に焦点を当てたアイデンティティ管理のロール（職務）について考え、効果的なソリューションの特性に関する解説を行う。 　 残りの章では、ビジネス・ニーズおよび技術環境に最も適したソリューションを選択するための、導入検討に役立つチェックリスト、およびFAQ、業界標準団体の参照情報の紹介、さらにセキュリティ、アイデンティティ管理に関連する用語集を掲載。

グローバル財務管理の実現化に向けて 〜 各分野での業界トップクラスの専門4社が 一貫したグローバル財務管理ソリューションをご紹介します 〜
主催	サン・マイクロシステムズ株式会社
協賛	トーマツ コンサルティング株式会社、スイフト ジャパン株式会社、住商情報システム株式会社
日時	2007年12月4日（火） 13:00〜
会場	大阪第一ホテル
費用	無料（事前登録制）