内部統制におけるアクセスコントロールは重要な統制の一つですが、その内容が複雑で多義にわたるため分かりにくいコントロールです。ここでは、アクセスコントロールを整理し、より効率的かつ効果的なコントロールを考えたいと思います。
先ず、基本的な話ですがアクセスコントロールとは何でしょうか?
アクセスとは「接近する、利用する、入る」などの意味ですが、情報システムにおけるアクセスの対象はシステムデータ(ここでは"情報"で統一します)とシステム機器になりますので、アクセスコントロールとは「情報やシステム機器の利用(どうやって到達するか)に対する制御」と言うことになります。
FISC(金融情報システムセンター)の『システム監査指針』では、アクセスコントロールのリスクを「組織内外から、非権限者にアクセスされること」とあります。もう少し具体的に言えば、非権限者がアクセスすることで起こり得る、破壊(情報/システム機器)、情報改竄、情報漏洩、システム機器盗難などが考えられます。
このようなリスクを最小化するのがコントロールですが、対象物の分類ごとに物理アクセスコントロールと論理アクセスコントロールに分けられます。物理と論理を組み合わせることでより強固なコントロールとすることが出来ますが、個々のシステムの重要性やリスクを評価した上で、コントロールがトータルでどの程度リスクを低減しているかを見極め、過剰なコントロールを組み込まないようにしましょう。 1.物理アクセスコントロール 物理アクセスコントロールの対象はサーバー、ハードディスク、バックアップテープなどですが、これらのシステム機器にどのように人が近づいていくかの経路を追って、其々をコントロールすることでリスクを低減します。例えば、システム機器が置かれている敷地内への入場→建物への入館→部屋への入室→サーバーラックの開錠などです。これら其々について、ロック方法、ロック解除手段、利用対象者、利用(ロック解除手段)に対する管理方法を継続許可と一時許可に分けて考えると分かりやすくなります。例えば以下のような表に纏めると漏れなく全体を把握できます。 表1.物理アクセスコントロール一覧(例)
(例) 2.論理アクセスコントロール 一方、論理アクセスコントロールの対象は電子的に記録媒体に記録されたデータやプログラムです。これらを人が利用する事に対する制御です。これを実現する手段として、利用者個々を識別し、個人ごと(或いはグループごと)に資源(データやプログラム)にアクセスする許可を"(どのレベルを)与える、与えない"を決めるのがアクセス権です。これらの管理は個々人の識別符号ごとにアクセス権を登録したアカウントによって管理されます。これがアカウント管理です。
実際のコンピュータではデータやプログラムに対するアクセス手段が色々ありますので、目的に応じたコントロールが必要です。オペレーティングシステム(OS)レベルの利用、データベース(DB)レベルでの利用、アプリケーション(AP)レベルでの利用などです。
現在の認証(識別)の一般的な方法は、ユーザーIDとパスワードの組み合わせです。個人ごとに与えられた識別符号であるユーザーIDとその本人しか知らないパスワードによってシステムにログインすることにより、利用者が許可された本人であることを確認します。
本人であることが確認されたら、その人に応じて認可されたアクセス権をシステム上付与するのがアクセス制御になります。
これらのコントロールは実運用上の流れを追って考えると分かりやすいでしょう。
先ずは対象の特定です。基盤、サーバー、アプリケーションシステム、データベースなど、何を対象にコントロールするかを決めます。その上で、アカウントのライフサイクルに沿って考えます。 表2.アカウントのライフサイクルに沿ったコントロール
 まとめ 実際の内部統制の現場では、論理アクセスコントロールにおける"職務分掌とシステム上のアクセス権の整合をどうやって証明するか"や"特権ユーザーの管理"は重要かつ複雑ですが、アクセスコントロールを効果的かつ効率的に実行するためには、その対象物の特定(何を守るのか)とアクセス経路(どうやってシステム資源に達するか)やアカウントのライフサイクルを把握することで、分かりやすいコントロールが実装できると考えます。 *本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。 | 
「システム監査の進め方」