ドクターQがお届けするIT統制ブログ　ITサプリ

11月7日、金融庁は同庁のWebサイトに日本版SOX法の実施基準案を
公開しました。基準確定までにはまだ若干の猶予はありますが、
内部統制システム構築の準備期間は確実に短くなっています。

本シリーズを通して、「内部統制とは何なのか」をいま一度正確に理解し、
「現行システムの機能と運用方法に何が足りないのか」をしっかり把握
することが大切です。さて3回目の今回は、「リスクマネジメントとしての
セキュリティ」に関して解説することにしましょう。

内部統制を通して、企業には「不正やごまかしを一切許さない、
社内管理・点検体制の整備」が要求されます。
こうした健全な企業風土を構築するために不可欠な要素が、
「リスクマネジメント」です。内部統制を成功させることは、
企業としてのリスクマネジメントを強化することに直結します。

リスクマネジメントという観点から、「セキュリティ」もまた内部統制に
おいて特に重視すべき点です。今回は、その中でも情報漏洩と
不正行為の原因となる可能性の高い、ユーザIDとパスワード管理に
フォーカスを当ててみましょう。

内部統制システムのユーザIDとパスワード管理で最も重要なのは、
ユーザの正当性確認機能を強化することです。

■ユーザIDとパスワード管理における主な強化機能

機能面では、具体的に下記のポイントを強化することが
内部統制システムに必須と言えます。

• ユーザIDとパスワードの発行・登録手続は、人事部門の情報とリンクさせる。
• 退職者のID・アクセス権の削除を、適切なタイミングで行う。
• 上記退職者のID・アクセス権の削除に関して、明確な社内ルールを作成。
  それに則って運用する。
• 複数の利用者間でユーザIDやパスワードで共有できない機能を整備する。
• パスワードファイルは、必ず暗号化して保存し、たとえシステム管理者で
  あっても、見ることができないようにする。
• 基幹システムへアクセス時、入力パスワードを一定回数間違えた場合は、
  アクセスできないように徹底する。
• 外部・内部から、アタックと思われる事象が発生した場合は状況が
  自動的にレポート化され、管理者に適宜報告される仕組みを整備する。

上記以外にも様々な機能強化が必要視されますが、こうした管理機能を
情報システムに追加採用することで、新法に対応した内部統制システムを
構築できると思われます。

クオリティでは、不要なアカウントや簡易なパスワードなどの脆弱性を
診断するツールをご用意しています。
テクノロジーサイトへぜひ一度アクセスしてみてください。

Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。