SOX法対応ID管理は難しい?――専門コンサルが語る

2006/7/13

 2008年4月からの適用が見込まれるいわゆる「日本版SOX法」(金融商品取引法の一部)では、財務報告の適正性を確保するため、公開企業に内部統制の構築が義務付けられる。内部統制を構築するうえで重要になるとされているのが、ITシステムへのアクセス権限の管理。ただ、米国ニューヨークで金融業向けのアイデンティティ管理システムのコンサルティングを行っている米SENA Systemsの社長兼CEO ロバート・レビン(Robert Levine)氏によると、アクセス権限の管理は一筋縄ではいかないようだ。

米SENA Systemsの社長兼CEO ロバート・レビン氏

 レビン氏は日本オラクルが企画した「米国SOX法現地視察ツアー」で講演した。レビン氏はSOX法とアイデンティティ管理の関係について、「財務報告は財務アプリケーションが出力する。企業のトップはその報告が正確であるという太鼓判を押さないといけない。財務アプリケーションへのアクセスが正しく行われていることも証明しないといけないのは明らかだ。そこにSOX法とアイデンティティ管理の関係がある」と説明した。IT管理者側から見ると、ポイントになるのは「誰にどのアプリケーションへのアクセスを認めるか」「そのアクセス権限がいつまで必要になるか」ということだ。

 SOX法への対応で問題になるのは、利用するアプリケーションが限定される一般社員などではなく、ITシステムの管理者など、幅広いアプリケーションにアクセスし、高度な権限が必要になるユーザー。このように利用の想定が困難なアクセス権限が「SOX法対応での大きな問題になりかねない」とレビン氏は指摘する。

 「アクセスの蓄積」という問題もある。アプリケーションAの利用権限を持つユーザーが人事異動で別の部署に移る。そしてアプリケーションBの権限が付与される。しかし、アプリケーションAの権限はそのまま。レビン氏は、このように利用しないアクセス権限が次々に与えられることを「アクセスの蓄積」と呼び、リスクになりかねないと指摘した。アイデンティティ管理では「アクセス権限を1度認めても、それが今後も継続的に必要な権限かを見極める必要がある」という。

 これらアクセス権限についての問題を解決するのが、オラクルなどが販売するアイデンティティ管理システム。だが、その導入ではエンドユーザー側との折衝が欠かせないという。システムの適用には「社内の組織を理解することが重要」。企業によっては「エンドユーザー側で情報への理解がなかったり、アクセス権限を付与するプロセスが書面化されていない、部署によってバラバラ、などの問題がある」(同氏)からだ。

 加えて、ビジネス・アプリケーションのアクセス権限をエンドユーザー側で管理している場合は、IT部門が管理するITインフラへのアクセス権限との連携も問題になる。アイデンティティ管理システムの導入はまず、社内にどのような問題があるかの把握から始める必要がある。

 現場の業務プロセスを変更するアイデンティティ管理システムの導入に関しては、エンドユーザーからの反発も考えられる。新しいシステムを導入して直接のメリットを享受するのは人事部やIT部門が中心。エンドユーザーは、プロセス変更で面倒な思いをするだけ、と考えるかもしれない。

 システムの導入に関してエンドユーザーを説得する場合は、エンドユーザーの効率性向上につながることをアピールすべきとレビン氏は説明する。レビン氏は、「アイデンティティ管理システムのもともとの目的は効率を上げること。その努力の中でコンプライアンス対応に役立つこともある、と訴えるべきだ」とアドバイスした。

(@IT 垣内郁栄)

[関連リンク]
日本オラクル
SENA Systems

[関連記事]
月1500人が入社するリーマン・ブラザーズ、そのID管理とは (@ITNews)
SOX法対応のスタートポイントはID管理」、米オラクルVP (@ITNews)
内部統制強化にらむ、オラクルとネットマークスがID管理で協業 (@ITNews)
内部統制構築でオラクルがEMCと協業、ID管理の専任部隊も (@ITNews)
SOX法はアーキテクチャで攻めろ、オラクルが製品体系化 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)