部門を兼務する社員のアクセス管理をどうするか
J-SOX法への対応に伴い、内部統制の強化に悪戦苦闘する企業も多い。特に多くの社員が日常業務で使うシステムのID・パスワードは、セキュリティなどの面から効率的な管理が必要になる。
ノベルは6月18日、プライベートカンファレンス「Novell Focus Solution 2008」を開催した。主力となる企業向けLinuxディストリビューション「SUSE Linux Enterprise」をはじめ、最新の仮想化技術やユーザー企業の導入事例などを紹介するセッションが行われた。ID管理に関するセッションでは、パートナー/ISM営業統括部でアイデンティティソリューション担当の佐藤紀之氏が、企業の抱える代表的な課題について説明した。
日本版SOX(J-SOX)法の適用年度が始まり、内部統制の実現に向けて多くの企業がその対応に追われている。基幹システムへのアクセス制限を有効に機能させるためのID・パスワード管理は、内部統制を強化する上で重要となる。一般にITを活用したシステムに対する内部統制は「IT統制」と呼ばれ、ノベルが提供する統合ID管理システム「Novell Identity Manager」は、このIT統制を支援する製品となる。
企業でのアクセス管理の現状について、「システムが複数に分散する一方で、それぞれがアクセス管理をしている。システム管理者には大きな負荷となるし、情報漏えいなどセキュリティ上のリスクも高い」と、佐藤氏は問題を指摘した。また、システム別だと、例えば部署を兼務する社員に複数のアクセス権限を割り当てる必要性があり、管理が複雑化する。
Identity Managerは、システムごとのID・パスワードを統合し、業務や職務に応じてアクセス権限を付与することが可能なほか、人事システムデータを源泉としているため、入社から退職までのIDに関するイベント(異動、プロジェクト参加など)をユーザーのライフサイクルに沿って管理できる。
ただし、アクセス管理は継続的に拡大するため、一度にすべてのシステムに導入するのは難しい。佐藤氏は「フェーズに分けて全体像をつかんでから、段階的に統合していくべきだ」と強調した。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
結局は「心証」が決め手?――内部統制評価
間もなく適用が始まるJ-SOX法。本番年度は、ITによる運用状況の評価の効率化がポイントになるという。
J-SOX対応は「主張の場」と心得よ――ログ保管ではどうする?
J-SOX対応では、莫大な投資を余儀なくされるケースが散見される。適正な投資を行うには、求められている統制内容を吟味、理解することが大切だ。
足かせではなく好機、J-SOX法で経営全体の見直しを
いよいよ適用が始まったJ-SOX法に向けて、各企業とも業務フローや組織の「見える化」に取り組んでいる。これを契機に経営全体の見直しを図ることが必要だ。
J-SOXは攻めと守りのバランスが肝心
内部統制の評価や監査が義務付けられるJ-SOX法が施行されて1カ月が過ぎた。戸惑いながら奔走する企業が目指す到達点とは?