【インタビュー】日本版SOX法施行2年目、新たな課題として浮上した特権ユーザ管理を包括的に解決

NEC　 第一システムソフトウェア事業部 マーケティング・販促グループ 主任 益子るみ子氏

　 　昨今の厳しい経済状況によって、企業内の事業・部門の統廃合、企業同士の合併・買収などが活発化している。このような状況の中、企業活動の中核をなす情報システムをまとめ、社内外に散在するシステムをしっかりと管理し、ID管理やアクセス管理の礎となるシステム基盤を構築する必要性が叫ばれている。さらに、2009年3月期より上場企業や連結子会社を対象に日本版SOX法も施行された。内部統制やコンプライアンスの観点からも、ID管理・アクセス管理の重要性がいっそう認識されるようになってきた。

　たとえば、内部統制を実現するうえで欠かせない「IT全般統制」では、財務報告の信頼性に影響を与えるようなリスクとなりうる「本番システム環境の変更」を重点的に管理することが求められている。本番システムが、意図した通りに適切に管理・変更されているか。これを担保するためのID管理・アクセス管理が果たす役割は大きい。

　その一方で、ID管理・アクセス管理は、セキュリティ対策でも重要な意味をもつ。昨今、内部犯行による情報漏えい事件が世間をにぎわしている。もし、悪意を持つ内部の者がシステム上のデータを操作して不正行為を行えば、企業に甚大な被害をもたらすだけでなく、企業の存続さえ揺るがす事態を招く恐れもある。ID管理・アクセス管理を行うことで、不正行為による情報漏えいの抑止効果もあるのだ。

　このような背景から内部統制やセキュリティという両輪を固めるソリューションが求められている。NECでは、統合ID管理＆アクセス管理ソフトウェアとして「WebSAM SECUREMASTER」を提供している。一元化した連携基盤を構築することで、統制のとれた「人と権限の集中管理」を実現し、ID・権限情報の維持管理はもちろん、セキュリティ対策のコストも削減できるソリューションだ。

　いわゆるID基盤の統合化・一元化は、一度に最初から全てを完成させることは難しい。部門間の調整に手間取ることも多く、時間と根気が必要になるからだ。そのため、まずは日本版SOX法の監査や内部統制の対象となるシステムなどを中心に、各企業の要件や予算に応じて段階的な導入を図るほうが現実的といえるだろう。具体的な導入方法については、別項で詳しく説明しているので参考にして欲しい。

　WebSAM SECUREMASTERによる代表的な導入事例に、NEC自身による15万人の社内ユーザを対象にしたID管理・アクセス制御と、それに連動したSSO（シングルサインオン）による統合基盤の構築が挙げられる。いわば大規模な運用の実績と多数のノウハウの蓄積が、WebSAM SECUREMASTERの大きな強みの1つといえるだろう。

　また純国産品というメリットも見逃せない。海外製品の場合、別途SIが必要だった日本特有の業務スタイルに、WebSAM SECUREMASTERは初めから対応している。たとえば、階層型の深い組織構造や兼務者の管理、定期的な人事異動への一斉移行、引継ぎ期間への対応なども容易だ。もちろん自社製品であるため、カスタマイズにも柔軟に対応でき、迅速かつタイムリーなサポートにも定評がある。

　さて、ここからは内部統制やコンプライアンスに絞り、ID管理・アクセス管理の重要性について、もう少し詳しく見てみよう。実際に日本版SOX法が施行され、現時点で明確に見えてきた課題や問題点があるからだ。

　NECでWebSAM SECUREMASTERを担当している益子るみ子氏（第一システムソフトウェア事業部 マーケティング・販促グループ）は、「日本版SOX法対策は、文書化の作業が一段落して、次に業務プロセスを標準化したり、運用を効率化するためにID管理・ログ管理などへ目が向けられるようになってきました。多くの企業が監査法人に指摘されるものとして、役割に応じた適切なアカウント管理や、監査証跡の保存・管理に関する課題が挙げられています」と説明する。

　まず前者の課題では、ユーザに不要な権限を与えず、異動者や退職者など変更があったIDをしっかり管理することが重要になる。またシステムの運用上、どうしても共用しなければならないIDもあるため、これらのルールを明確化し、IDの棚卸を実施しなければならない。さらにID管理・アクセス管理のターゲットは、ユーザと権限の管理だけにとどまるものではない。後者の課題のように、変更手順の統一化と変更管理をしっかり実施し、『いつ・だれが・どのように変更を行ったのか』、事後に証明ができるようにしておく必要もある。ログについては単に記録・保存するだけでなく、定期的なモニタリングを実施し、不正が行われていないかチェックする必要があるだろう。

　さらに最近になって大きくクローズアップされてきた問題もある。それは「特権ID」の管理に関するものだ。益子氏は「特権ユーザの不正利用は企業に与える影響が大きく、監査でも特に厳しくチェックされるところです。正規のシステム管理者が持つ万能権限だけに、何でもできてしまうことから、万一悪用されると相当やっかいなことになります。特権IDは、運用面から複数人で共用していることも多く、ログの改ざんも可能なため、何か起きても事後に犯人の追跡ができません」と説明する。

　特権ユーザとは、OSやネットワーク機器、および業務アプリケーションに対し、システム全体へ制約なくアクセスができるAdministrator（Windows系）、root（UNIX系）といった管理者権限を持つユーザのことだ。システム運用上、あらゆるデータにアクセスしてデータを閲覧でき、それらの変更・削除はもちろん、改ざんや持ち出しも行える権限をもつ。そのため益子氏の指摘のように、もし何か起きると被害や影響度もはかり知れないものになってしまう。実際に、最近では特権ユーザ権限を悪用した機密情報の持ち出しなどの事件も起こっており、セキュリティ面からも特権ユーザ管理が喫緊の課題になっているのだ。

　そこで、このような特権ユーザ管理の問題を解決するために、NECでは前述のWebSAM SECUREMASTERと組み合わせる形で「特権IDアクセス管理ソリューション」を提案している。これは特権IDの無制限アクセスを強制的に制御し、権限管理をより厳密に行うために、ID管理、アクセス管理、ログ管理を連携させたソリューションである。具体的には、ID管理を特権IDまで拡張するための「WebSAM SECUREMASTER」と、特権ユーザのアクセスや管理者権限を制御してログを記録する「SecuveTOS」、これらのログを一元的に統合管理し、改ざんリスクを低減する「RSA enVision™ powered by Express5800（以下、RSA enVision）」で構成される【図】。


　特権IDアクセス管理ソリューションでは、内部統制面で特権IDの管理を強化し、さらに監査証拠としてのアクセス記録や、申請・承認・アクセス記録の紐付けを可能にする。また特権IDの払い出しや各システムへの自動反映（プロビジョニング）により、管理コストも削減できる。一方、セキュリティ面では、特権IDによる無制限アクセスが制御されるため、重要データや監査ログなどの情報漏えい・改ざんの心配がなくなる。もし不正行為が行われるようなことがあれば、それらをリアルタイムに検知することも可能だ。　

　このようにWebSAM SECUREMASTERを導入すれば、特権ユーザ管理を含めた包括的なID管理・アクセス管理を確立できるようになるだろう。日本版SOX法施行後のいま、あらためてもう一度システム全体の見直しを図り、特権ユーザ管理を補強したり、システム基盤の管理コストを削減する効果的な体制の構築を目指してみてはいかがだろうか。