ITGC 特権IDとその管理の重要性を解説

ITシステム統制

システム管理やサイバーセキュリティにおいて、アカウント管理は重要な要素です。

アカウント管理の中でも、システムの全ての機能を使える程の権限を持つアカウント、特権IDの管理は特に重要となります。

当記事ではIT全般統制(Information Technology General Control[以下「ITGC」と記述])における特権IDとその重要性を解説します。

ぜひ最後までお読みいただき、特権IDの理解と管理にお役立てください。

特権IDとは

システムを利用するためにはアカウントが必要です。

このアカウントには、システムを管理するためのものと、一般ユーザとして利用するためのものがあります。

前者を特権IDとして扱います。

特権IDは以下のような表現でも知られています。

  • 特権アカウント
  • スーパーユーザ
  • 管理者権限
  • アドミン

特権IDが持つ主な権限:

  • ユーザアカウントの登録や削除といった設定
  • 個別の権限の設定
  • システムのプログラムを変更する権限
  • システムのデータベースの情報を書き換える権限

これらの権限のうち、いずれか1つでも権限をもつアカウントは「特権ID」として扱います。

以下で、ITGCで管理が必要なシステムの具体例を解説していきます。

オペレーティングシステム(OS)

OSとは、コンピュータの基本的な管理と制御を行うソフトウェアです。

主な機能:

  • リソース管理
  • ユーザーインターフェース
  • ファイル管理
  • ハードウェアの制御
  • セキュリティ

パソコンやスマートフォンはもちろん、テレビなどの家電や車など様々な機器にOSが使われています。

OSがあることにより、ユーザは直感的にPCやOS機器を操作できるようになるのです。

そのため、OSはシステム全体に大きな影響を及ぼすことから、OSの特権IDはITGCの重要な管理対象となります。

OSとの基本構造図

代表的なOSの特権ID:

  • Administrator:Microsoft Windows(PCで使用されるOSの代表格)の最高権限アカウント
  • root:Linux(オープンソースOS)の最高権限アカウント

アプリケーション

アプリケーション(アプリ)とは、特定の目的や作業を行うためのソフトウェアプログラムのことです。

アプリの主な特徴:

  • 特定の目的や機能を持つ
  • ユーザインターフェースを提供
  • データ処理を行う

財務情報や個人情報・顧客情報を扱うアプリケーションは重要な管理対象システムとなります。

代表的なアプリケーションの特権ID:

  • SAP_ALL:SAP(企業の業務を統合的に管理するソフトウェア)のシステム内のほぼすべての権限を持つ
  • Active Directory管理者:Windows Server上で動作し、ネットワーク内の資源管理やセキュリティ設定を行う

SAP(「エスエーピー」と読みます。「サップ」という読み方は国際的なビジネスの場では避けることが推奨されています)

データベース管理システム(DBMS)

DBMSは、大量のデータを効率的に保存、管理、そしてアクセスするためのソフトウェアシステムです。

主な機能:

  • データの一元管理
  • データアクセスの制御
  • データの検索と取得
  • データの整合性維持
  • バックアップと復元

企業の扱う情報は大量であり、一貫性や正確性が求められます。

DBMSは日常的に使用する多くのサービスを支えており、システム管理と情報管理の両面で重要な管理対象となります。

DBMSの基本構造

代表的なDBMSの特権ID:

  • SYS:Oracle Database(世界的に利用されているDBMS)の最高レベルの管理権限を持つ
  • sysadmin:Microsoft SQL Serverの完全な制御権を持つ

特権IDの管理の必要性

特権IDはシステムの管理のために必要なアカウントです。

強い権限は不正防止のため管理しなければなりませんが、具体的に管理しなければならない理由を解説します。

継続的な事業活動のため

一般アカウントの不正アクセスでは、主に「閲覧権限」による情報漏洩のリスクがあります。

一方、特権IDが不正使用された場合は:

  • より大規模な情報漏洩
  • データの改ざん
  • システムの停止

などの深刻な被害が想定されます。

システムが乗っ取られ、復旧と引き換えに身代金を要求される事件が発生しています。

このようなニュースは皆さんも耳にしたことがあるでしょう。

安全な事業活動を継続するためには特権IDの管理を適切に行わなければなりません。

法律や基準による規制

セキュリティインシデントによるITシステム全般への信頼性低下は、社会生活や経済に大きな影響を及ぼします。

そのためITGCに限らず特権ID管理は、多くの法令や基準で要求されています。

法令

  • 金融商品取引法(J-SOX法)

日本の金融商品取引法では、内部統制報告制度が定められており、ITに関する全般統制の一環として特権ID管理が求められています。

  • 個人情報保護法

個人情報を適切に管理するために、アクセス制御や権限管理が必要とされ、特権IDの管理もその一環として重要です。

基準・ガイドライン

  • COBIT(Control Objectives for Information and Related Technology)

ITガバナンスとマネジメントのフレームワーク

  • ISO/IEC 27001

情報セキュリティマネジメントシステムの国際規格

  • NIST SP 800-53

米国国立標準技術研究所(NIST)が発行するセキュリティコントロールガイドライン

  • PCI DSS(Payment Card Industry Data Security Standard)

クレジットカード業界のセキュリティ基準

業界特有のガイドライン

  • FISC安全対策基準

金融機関等コンピュータシステムの安全対策基準

監査対応

一定規模以上の企業では、システムによる決算書作成が不可欠で、内部統制の構築と監査が必要です。

そして重要なシステムは監査対象となります。

特権IDで不適切な管理が行われていると、内部統制が有効でないと評価され企業の評価に悪影響を与える可能性があります。

特権IDの管理のメリット

特権IDの管理には、上述した重要性への対応に加え、以下のようなメリットがあります。

  1. 責任の明確化

特権IDが適切に管理されていない場合、誰が特定の操作を行ったかを追跡することが難しくなります。

適切な管理によって、アカウントごとの責任が明確になり、アカウント乱用時の責任追及が可能となるメリットがあるのです。

  1. 事業パートナーや株主への信頼維持

上場企業にとって、セキュリティの信頼性は事業パートナーや株主からの重要な関心事です。

適切な特権IDの管理は、企業のセキュリティ体制の一部として、信頼を維持し企業価値の向上のために貢献するでしょう。

  1. インシデント対応の迅速化

問題発生時に誰がアクセスしたのかを迅速に把握できるため、セキュリティインシデントへの対応が迅速に行えます。

このように、特権IDの管理が適切であることは売上に直結しませんが、不正による費用の支出やインシデント予防により不測の支出を防ぐ重要な役割を果たします。

まとめ

特権IDは、システム全体に影響を与える強力な権限を持つアカウントです。主な管理対象は以下の3つです:

  • OS(Administrator、root)
  • アプリケーション(SAP_ALL、Active Directory管理者)
  • データベース管理システム(SYS、sysadmin)

特権IDの管理が重要な理由:

  1. 事業継続性の確保
    • 不正アクセスによるシステム停止の防止
    • 重要情報の保護
  2. コンプライアンス対応
    • 法令要件への対応
    • 各種基準・ガイドラインへの準拠
  3. 監査要件の充足
    • 内部統制の有効性確保
    • 企業評価の維持

適切な特権ID管理により、責任の明確化、信頼性の維持、インシデント対応の迅速化といった効果が期待できます。

当記事は以上になります。

最後までお読みいただきありがとうございました。

記事を読んだ感想、質問、疑問点あるいはご指摘事項がありましたら質問フォームにご記載ください。

可能な限りご回答させていただきます。

コメント