この連載では、これまで内部統制の概要を説明してきた。今回からは、少し踏み込んで具体的な内容に入っていく。まず、第1弾としてセキュリティの部分について解説する。
前回は企業として内部統制について何をすべきか、その中でIT内部統制としてどのように統制活動をしていくべきか、について概要を説明しました。今回からはもう少し具体的な内容に入っていきます。まずは、セキュリティの部分から見ていきましょう。
企業全体として行うべき内部統制と、IT内部統制の関係を簡単にまとめると以下の表のようになります。
企業として行う内部統制 | IT内部統制 | |
---|---|---|
全社的な内部統制 | IT統制環境 | IT全体に対しての戦略、方針、運営にかかわる統制活動 |
業務プロセスにかかわる内部統制 | IT業務処理統制(アプリケーション統制) | 業務プロセスの一部として業務アプリケーションに組み込まれた統制活動 |
IT全般統制 | アプリケーション統制が正しいことを補完する活動。以下の4つの領域 ・プログラム開発 ・プログラム変更 ・コンピュータ運用 ・プログラムとデータへのアクセス |
|
IT内部統制におけるセキュリティ(情報セキュリティ)は、IT全般統制で定義された4領域のうちの「プログラムとデータへのアクセス」に当たります。
そして、COBITにおけるセキュリティの活動は、ほぼ「DS5 システムセキュリティの保証(Ensure Systems Security)」に集約されています。第3版でも第4版でもDS5になっているのですが、DS5の中で定義されている活動の項目数が第3版では21項目、第4版では11項目と減っています。しかし、これは項目の内容の整理分類をし直した結果です。以下に、第4版で定義されている項目を記述します。
DS5.1 Management of IT security |
---|
DS5.2 IT security plan |
DS5.3 Identity management |
DS5.4 User account management |
DS5.5 Security testing, surveillance and monitoring |
DS5.6 Security incident definition |
DS5.7 Protection of security technology |
DS5.8 Cryptographic key management |
DS5.9 Malicious software prevention, detection and correction |
DS5.10 Network security |
DS5.11 Exchange of sensitive data |
DS5.19 Malicious software prevention, detection and correction |
DS5.20 Firewall architectures and connections with public networks |
DS5.21 Protection of electronic value |
IT全般統制で定義されている「プログラムとデータへのアクセス」ですが、業務処理に使用されるプログラム/アプリケーション、データに対して「正しい人が正しい権限でアクセスしていること」を保証する仕組みをどうするのか? ということであり、セキュリティの観点でいえば「アイデンティティ/アクセス管理(Identity and Access Management:IAM)」の領域になります。そして、IAMに特に関係のある項目は、
5.3 Identity management/アイデンティティ管理
5.4 User account management/ユーザーアカウント管理
5.5 Security testing, surveillance and monitoring/セキュリティのテスト、監督、監視
が中心となります。そこで、今回はIAMの中でもアイデンティティ管理について説明します。
Copyright © ITmedia, Inc. All Rights Reserved.