経営者は、一般的なシステム管理における有効なIT統制として、「準拠性」「信頼性」「可用性」「機密性」という目標を求められています。
そして、その目標を達成するための主なIT統制活動として、IT全般統制とIT業務処理統制があります。
実施基準によると、IT全般統制とは、IT業務処理統制が有効に機能する環境を保証するための統制活動のことをいい、具体的な統制項目としては、以下のものがあります。
- システムの開発、保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
この記事では、このうち「内外からのアクセス管理などシステムの安全性の確保」に関連する統制活動について、簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
「内外からのアクセス管理などシステムの安全性の確保」の概要
実施基準では、「内外からのアクセス管理などシステムの安全性の確保」の監査について、以下のポイントが挙げられています。
監査人は、企業がデータ、システム、ソフトウェア等の不正使用、改竄、破壊等を防止するために、財務報告に係る内部統制に関連するシステム、ソフトウェア等について、適切なアクセス管理等の方針を定めているか確認する。
システムが適正に構築され、安定的に稼働する仕組みを作り上げたとしても、誤ったデータや架空のデータが入力されたり、システム内のデータが改ざんされれば、システムの信頼性が毀損してしまいます。
そのリスクに対応するため、システムやアプリケーションソフト等を適切な者のみが操作・認証できるようにアクセス管理する必要があります。
かつては、ホストコンピュータや専用端末を限られた人員や特定の場所でデータ処理するという、集中処理方式でシステムを利用していました。
しかし現在は、ITの専門知識を持たない個人が、安価なパソコンを用いて、ネットワークやクラウド等を経由して業務を行う分散処理方式が増えています。
また、ネットワーク技術の発達により、大量のデータの流通も可能になりました。
このようなIT環境の変化によって、データ等の情報資産が、不正アクセスや破壊、改竄のリスクにさらされる機会が多くなっており、アクセス管理はより重要な統制となってきています。
アクセス管理の統制項目
「システム管理基準追補版」では、「内外からのアクセス管理などシステムの安全性の確保」の統制項目の例として、以下のような観点を挙げています。
- 情報セキュリティフレームワーク
- アクセス管理等のセキュリティ対策
- 情報セキュリティインシデントの管理
情報セキュリティフレームワーク
情報資産をいかに保護していくか、情報セキュリティに関する会社としての方針や対策基準等を定めることにより、適切なアクセス管理への対策について、会社レベルでの認識を確立します。
アクセス管理等のセキュリティ対策
アクセス権の管理では、適切な者だけがIT資源にアクセスできるように制限をかける統制を整備・運用します。
アクセス権を管理するIT資源としては、アプリケーションソフトやインフラ系システム(OS、データベース等)、ネットワーク等があります。
★アクセス範囲の決定とIDの付与
職務権限に沿って、誰が、どこまでアクセスできるかを決定し、アクセス権限とIDを結びつけます。
どのようなアクセス権限のIDを誰に付与するかは、アクセス管理において重要な統制です。
データの閲覧しかできないIDであれば、複数人に同一のIDを付与すれば足りる場合があります。
しかし、アクセス管理における統制の重要性を考慮すれば、個人ごとにひとつずつIDを付与する方が堅実であり、今日では一般的な統制であるといえます。
また、システムによっては、高度な権限を持つIDが導入時から設定されている場合があり、このような高権限のIDを付与される者はより厳密に限定され、管理される必要があります。
★パスワードの管理
適切なアクセス権限が設定されたIDが付与されていても、付与された者以外がそのIDを利用できる状況(IDの未承認の貸与、IDの乗っ取り等)は防がなければなりません。
そのため、IDの利用を認証するパスワードの管理は重要であり、パスワードの秘匿性を高める必要があります。
★アクセス権の登録・改廃手続きの整備・運用
ID等のアクセス権の新規登録や変更、廃止の申請および承認手続きについて、規程やマニュアル等で定め、安易なアクセス権の登録等を防止します。
★アクセス権の棚卸し
担当者の退職や部署異動等があれば、その者のアクセス権が解除されなければなりません。
そのような処理が漏れていないかもあわせて、アクセス権の設定状況が最新のものであるかを定期的に確認する必要があります。
情報セキュリティインシデントの管理
成功・不成功を問わず、ログイン等のアクセス試行の履歴を記録し、モニタリングできる仕組みを構築したり、不正アクセスの発生時に担当者に通知する警告機能を整備します。
また、履歴のレビュー等により不正アクセスを発見した場合は、影響の分析や原因究明、対応内容の記録等の手順を定めます。
物理的アクセスコントロールと論理的アクセスコントロール
ハードウェアやアプリケーション、ネットワーク、データ等のIT資源や情報資産に、誰が、いつ、どのようにアクセス可能にするかを制御することをアクセスコントロールといいます。
アクセスコントロールには、物理的アクセスコントロールと、論理的アクセスコントロールがあります。
物理的アクセスコントロール
物理的アクセスコントロールでは、コンピュータ端末やサーバ機器、書類等の機密情報がある施設や部屋へ、権限のある者以外が立ち入ることができないようにします。
★IDカード
IDカードの保有者しか施設等に立ち入りが許されないアクセス方法です。
IDカードの紛失等の場合に備えて、カードを失効させる手続きの規定が必要です。
★鍵
鍵の保有者しか施設等に立ち入りが許されないアクセス方法です。
鍵の紛失等の場合には錠を替えなければいけないため、IDカード紛失の場合より損害が大きくなります。
★生体認証
指紋や静脈等の生体情報を利用して、施設等へ立ち入りできる者を識別するアクセス方法です。
生体情報は基本的に変化しない情報のため、アクセス権限者本人の特定が確実です。
一方で、これらの情報が流出すると取り返しがつかないため、厳重なセキュリティ対策が必要です。
★キーパッド
キーパッドへ入力するパスコードを知っている者しか施設等に立ち入りできないアクセス方法です。
パスコードは定期的に、また、アクセス権限者の変更時に変える必要があります。
そのため、アクセス権限者の変更の頻度が多い場合には適しません。
論理的アクセスコントロール
論理的アクセスコントロールでは、権限がある者しかデータやプログラム等へアクセスできないようにします。
★パスワード認証
IDとパスワードの組み合わせを用いてアクセスしようとしている者を識別し、適切な権限者のみがデータ等にアクセスできるようにする方法です。
この方法では、パスワードの秘匿性が重要になるため、推測されにくいものにする必要があります。
そのため、IDを付与された者が任意にパスワードを設定する場合は、使う文字数を増やしたり、文字の種類を混在させる等、複雑なパスワードに設定すべきです。
また、パスワード入力を一定回数間違えるとそのパスワードが使用できなくなる「ロックアウト」という方法があります。
★2段階認証
パスワード認証に加えて、事前に指定したメールやアプリ等に送られたセキュリティコードを認証に使うアクセス方法です。
今日ではパスワード認証は様々なシステムで利用されているため、同じパスワードが複数のシステムで使い回されている場合があります。
あるシステムのパスワード漏えいが、他のシステムの不正アクセスにつながる可能性があるため、2段階認証が推奨されるようになりました。
★端末認証
システム等へのある特定の端末からのアクセスのみを許可するアクセス方法です。
その端末を使用している者が正当な者であるかどうかの識別は、物理的コントロールやパスワード認証等に委ねられます。
★自動ログオフ機能
一定時間コンピュータを操作しないと、自動的にシステムやデータ等へのアクセスを切断する機能です。
再度利用を開始する際に、アクセス権限者のIDとパスワードを要求することで、権限者の離席時等の不適切な者のアクセスを防ぎます。
