内部統制のためのアクセス管理基盤構築

内部統制の定義

金融商品取引法に基づき、全ての上場企業は財務報告にかかる内部統制の評価及び監査が義務付けられます。ひとことで内部統制と言ってもその内容は非常に幅広く、多くの企業ではどこから手を付けて行けば良いのか、深い悩みを抱えているのが実情かと思われます。

金融庁が提示した「財務報告に係る内部統制の評価及び監査に関する実施基準」では、最初に「1.内部統制の定義(目的)」として、「内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されている、、、」と述べられています。

最終的にアウトプットされるのは財務報告に添付される評価と監査の報告書になるため、コンサルティングや文書作成に重点を置いている企業が多く見受けられます。しかしながら実施基準で、内部統制の目的の最初に業務の有効性及び効率性を掲げているとおり、この法律は単なる文書を求めるものでなく、企業のパフォーマンスとコンプライアンスを高め、その結果として財務報告書の信頼性を高めることを目的としています。そのために、日本版SOX法と呼ばれるこの金融商品取引法では、米国版SOX法には無い、「IT」の文言が含まれています。何故なら、企業のパフォーマンスとコンプライアンスをより高めるにはITの活用が必須要素であるからです。


内部統制ソリューション

内部統制のためのソリューションとして、世の中には様々な製品が紹介されています。代表的なものだけでも、SOX法対策支援ツール、ワークフロー、ERP/財務管理、構成管理、ドキュメント管理、ID/アクセス管理、運用管理、IT資産管理、システムテスト支援、操作制御/監視、データ保護、財務情報モニタリングなどが紹介されています。さらにはサービスとして、コンサルティングや文書化、診断、教育、運用支援などが提供されています。なかには、「これが内部統制のためのツールなのか?」と疑問を持つ製品まで、内部統制をうたって販売されています。このような状況において、どこから手を付ければ良いのか混乱している企業の担当者も多いことと思われます。

この混乱した状況で失敗をしないためには、ありとあらゆる製品が氾濫しているなかで、本来の目的に添ったソリューションであるかどうかを再確認し、絞り込みが必要となります。


内部統制の基本的枠組み

業務の有効性および効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全を実現する目的でITに関わる、より具体的な説明がなされているのが内部統制の基本的枠組みの章です。
そこでは更に内部統制を、全般統制と業務処理統制のふたつに分けて、各々何をする必要があるかを説明しています。

全般統制

業務処理統制

ここで注目するのは、全般統制・業務処理統制の両方に出てくる「アクセス管理」と言うキーワードです。つまり、財務報告の信頼性を確保する手段として、正しい人により、正しいシステム上で、正しい情報が作成されていることを証明し、更にそれを効率良く、効果的に管理されていることが求められています。


アクセス管理ソリューション

IT環境における「アクセス管理」とは、大きく二つの要素が必要となります。まず必要となるのが、財務報告の元となるデータを作成しているアプリケーションに対するアクセス権限、つまりはアクセス許可の管理です。二つ目は、アクセスを許可されてアクセスしている人が、本当にその本人であることを保証することです。

ビジネスアプリケーションにおいて、これは当然行われている内容です。つまり、アプリケーションではアカウント(ID)を作成し、その本人にパスワードを授与します。ユーザーは、授与されたパスワードによりアプリケーションの認証を受け、データにアクセスします。

個々のアプリケーションシステム単位で見た場合には、このことは徹底されていることでしょう。しかし、財務報告作成のためのデータは、経理システムだけではなく、購買システムや営業の受注システム、在庫管理システム、人事システムなど、様々なシステムが関連してきます。またシステムの管理者は、たった一人のユーザーアカウントだけではなく、多数のユーザーアカウントを管理しています。ユーザーも、たった一つのシステムだけではなく、多数のアプリケーションのID・パスワードを利用しています。

企業内全体でこのアクセス管理が徹底されているかを再度見直すと、実際には退職した社員のアカウントがいつまでも残っていてアクセスが可能であったり、ユーザーが他人にパスワードを教えて、他の人がなり代わってデータを作成していると言った状況が実際に起こっています。このような現状があることから、内部統制の基本的枠組みの中では敢えてアクセス管理というキーワードを全般統制・業務処理統制にも含めたのではないかと考えられます。

この問題は、これほどまでにアプリケーションが多様化・分散化し、企業の業務にITが欠かせなくなっている現代においては、個々のシステム単位での管理は限界に来ていることを表しています。その為にアクセス管理のみの機能を独立して提供するソリューションが提供されるようになりました。つまり、先に述べたアクセス管理の二つの要素である、アカウント(ID)の管理を統合するソリューションと、パスワード管理の不徹底の問題を排除するために、ICカードや指紋認証等を使って本人同一性を保証するソリューションです。


ネクサンティスが提供するアクセス管理ソリューション(AccessMaster)の特徴

ネクサンティスが提供しているアクセス管理ソリューションの最大の特徴は、ID(アイデンティティ)管理と認証、パスワード管理の機能が統合されている点です。アイデンティティ&アクセスマネジメント・ソリューションと呼んでいます。

AccessMasterTokucho

統合されたアイデンティティとアクセスマネジメントソリューション導入による利点は、社内ネットワークに対する全てのアクセスをひとつのプラットフォームで管理することにより、アクセス管理の集中化・集約による徹底、重複/分散管理の排除による効率化や、複数システムの統合・連携の作業排除によるコスト削減、全てのアクセス管理に関わる集約された監査ログの取得などが挙げられます。

また、AccessMasterでは各々の機能をモジュール単位で提供しており、優先順位に基づき段階的にソリューションを展開することができます。もちろん、必要なモジュールのみを導入し、コストを抑えることも可能です。

AMmoduleDiagram


IAMソリューション導入による内部統制への対応と導入効果

先にも述べたとおり内部統制実現のためにIT環境に求められている内容は非常に幅広いものであり、IAMソリューション導入=内部統制実現というものではありません。しかしながら「財務報告に係る内部統制の評価及び監査に関する実施基準」でも敢えてアクセス管理の表記が重複しているように、内部統制実現の為の非常に重要な要素として位置付けられています。アクセス管理は個々のアプリケーションシステム単位でも管理でき、新たにシステムやソフトウェアを導入しなくても実現することは可能ですが、結果的には重複作業が発生し、作業量の増加を招く結果になります。

これに対して、統合されたアイデンティティとアクセス管理ソリューションを導入することは、内部統制におけるアクセス管理への対応と、導入および運用管理コスト削減、さらにはネットワークセキュリティ向上にも非常に効果的なソリューションです。

つまりIAMソリューションの導入は内部統制への対応のみならず、セキュリティ+ROIの実現のために有効なソリューションと言えます。

Copyright © 2001-2007 NexantiS Corporation - All rights Reserved - お問い合わせ - 個人情報保護