特権IDの管理の重要性は理解しているが、具体的にはどうすればいいのか。
特権IDの管理に必要な内部統制は何か?注意点は?
当記事ではIT全般統制(Information Technology General Control[以下、”ITGC”と記述します])におけるアカウント管理の特権IDに対する内部統制の構築方法を解説します。
より厳格な管理をする際にも、当記事の基本の特権IDの管理方法が役に立つでしょう。
ぜひ最後までお読みいただき、特権IDの内部統制の整備・運用にお役立てください。
特権IDとは
特権IDとは、システムやデータベースの管理、設定変更など、通常のユーザには許可されない高度な操作を行える特別な権限を持つアカウントです。
これらのIDは、システムの全体管理やデータ保護に必須ですが、悪用されると大規模なセキュリティリスクとなるため、厳重な管理と監視が求められます。
特権IDについて詳しく知りたい方は本Blog内の下記の記事を参照ください。
基本的な特権IDの内部統制
ITGCにおける特権IDの管理のために必要な内部統制は以下があります。
(会社のポリシー次第では、ITGCではなくIT全社統制やITACに分類します)
- アカウント登録:新規ユーザの登録
- アカウント変更:ユーザの権限やアカウント情報を変更する
- アカウント削除:退職者や不要なユーザを削除する
- 使用申請:特権IDの使用は承認のもとで行う
- モニタリング:ユーザのアカウントの使用状況をチェックする
- ID棚卸:登録されているユーザが必要なユーザか、不要な権限がないかをチェックする
- パスワード管理ほか:パスワードの設定、変更、ポリシー(複雑性、期限、履歴)を管理、物理的な対策
以下でそれぞれ解説します。
アカウント登録・変更・削除
特権IDを使用する担当者・アカウントの登録・変更・削除の内部統制そのものは一般ユーザのアカウントの内部統制と大きく変わるところはありません。
ITシステム担当部署で申請書を作成し、同部門の責任者が承認する。
この流れで登録・変更・削除を行います。
担当者の退職や異動時の「変更」「削除」は即時に行いましょう。
あとに解説するモニタリングやID棚卸の内部統制のために、申請書類ならびに使用者一覧には以下の項目を定めておくのがよいでしょう。
- 登録者情報:氏名・ユーザアカウント
- 使用する特権ID
- 担当職務
特権IDは、共有使用する場合があります。
共有IDの利用は一般的に推奨されませんが、特権IDでは以下のような理由で共有IDが実務上ではよく使われます。
- 緊急対応のため:稼働可能な人に即座に対応させることができるようにする
- 特権IDを一元管理するため:割り当てられた個人へ管理を任せるのはリスク
- システム上の制約:特権IDを追加で作成できないなど
- 特権IDが増えると不正利用の可能性が増加する
共有する場合も同様に、どの特権IDを誰が使用するのかを明示して一覧管理をしましょう。
登録等の内部統制ではありませんが、システムでも特権IDにアクセスした使用者の個人IDがわかる仕様であることが望ましい設定です。
アカウント登録・変更・削除は予防的統制に位置づけられます。
使用申請
特権IDは、利用者として登録されていれば後は自由に使用できる・使用させるという性質のものではありません。
特権IDの利用は使用申請をし、妥当な目的・理由であることを承認されてから行います。
利用申請は具体的に以下の項目を記載し申請・承認を経て行います。
- 使用する特権ID
- 使用する理由・作業内容
- 時期や期間
- 使用者(作業者)
特権IDを使用した作業終了したら
- 実際開始時刻と終了時刻
- 実際の作業内容
を報告し承認を受けます。
申請が先でシステム上の作業が後、という時系列が重要であるため、緊急時でなければ順序には注意しましょう。
利用申請の管理は予防的統制に位置づけられます。
モニタリング
モニタリングは実際のアカウントの使用ログを見て適切な目的のためのアクセスであるかを検証する手続きです。
ITGCでは、一般ユーザのアカウント管理のためにはログが多すぎることからモニタリングは実施されないことも多いのですが、特権IDでは重要性のため必要です。
内部統制は、
- システムから特権IDのログを入手
- 特権IDの使用申請記録とログの突合を行う
というものです。
モニタリングの内部統制の着眼点は以下の4点です。
- 使用申請記録にないログはないか
- 目的外利用はないか
- アクセスした場所(使用した端末)は適切か
- 使用申請記録とアクセス時間の順番が前後していないか
特権IDの使用の申請とシステムでの作業記録が一致することが最も重要ですが、例えば「申請はしたが不要になったため特権ID使用を取りやめた」ことは不備や指摘とはなりません。
特権IDは必要があって使用されるものですから、緊急対応のため内部統制からの逸脱が稀に発生します。
逸脱した場合には内部統制の原則からは不備・指摘という評価になります。
緊急時・例外時の対応も内部統制のルールとして定めておきましょう。
例外時の対応は例えば以下のようなものです。
- 特権ID使用後の数日以内に使用報告を書面で作成
- 報告の承認は部署の責任者とそれ以上の職階の者(例えばITを統括する最高位責任者など)の承認
監査人に対して「緊急性があることが認められるため不備ではない」という主張を口頭でおこない、それだけで済ませることは内部統制監査では推奨されません。
モニタリングは発見的統制に位置づけられます。
ID棚卸
特権IDのID棚卸は、特権ID使用者の一覧の管理のために行います。
特権ID使用者の一覧は、使用者を限定する目的の他に、モニタリングでアクセス者が適切であるかを判断する資料としても使用されます。
特権ID使用者の一覧に退職者や別部署に異動したものが残っていないか、という観点で検証し不適切なものがいれば削除しましょう。
具体的な内部統制は、検証を担当するものと、検証結果を部署の責任者か承認権限者が確かめるダブルチェックをすることです。
確認事項の例示
- 特権IDは何か
- 使用者は誰か
- 使用者の所属は
- 使用者の個人IDは何か:特権IDへのアクセスログと突合する目的のため
- 担当職務は何か
- 利用時期・利用期限はいつまでか
統制頻度は月次の統制とすることが望ましいですが、特権IDの利用頻度・人事異動の頻度により四半期や半期も検討可能です。
年次の統制では間隔が長く、特権IDへの内部統制の効果が期待できないため、年次の頻度は推奨しません。
ID棚卸は発見的統制に位置づけられます。
パスワード管理ほか
その他のポリシーや追加的な管理方法を解説します。
パスワードポリシー
特権IDに関わらず、パスワードは解析されにくいものにすべきで、システムでパスワードポリシーを設定することが推奨されます。
パスワード管理は、下記のパスワードポリシーを定めます。
(パスワードを設定し、複数回使うことを前提としています)
- 文字数:(執筆時点では)12文字以上が望ましい。技術革新により増加する可能性
- 利用する文字:英数字混在、大文字・小文字、記号の利用
- 有効期限:ワンタイムパスワードでなければ一定期間で強制的に変更する
- パスワード履歴管理:同じパスワード、類似したパスワードへの変更不可
- 多要素認証の採用:端末使用者の本人確認をおこなうなどの追加工程など
パスワードの変更のタイミングは、特権IDの担当者が担当を外れる時点で行うことも検討ください。
これらのポリシーの目的は、パスワードを解析する技術への対応、パスワードを知る者が担当を離れたあとアクセスできないようにするための対応などのためです。
上記は複数回使うパスワードの場合の説明ですが、特権IDではワンタイムパスワードの利用や、特権ID専用の管理ツールを利用して管理することがあります。
物理的な管理
遠隔でシステムの操作が可能であれば、利便性の面では有利ですが、特権IDが不正利用される可能性が高まります。
特権IDは遠隔操作を認めず、物理的に限られた環境下でのみ利用できるようにする管理が行われます。
物理的な管理によって不正アクセスを防止する対策をとることは必須ではありませんが、有効な管理方法です。
物理的な管理方法は下記が挙げられます。
- 利用できる端末を限定する
- 端末室を隔離し、鍵管理をおこなう
- 端末の起動や特権IDの起動のためのアクセスキー(物理)を利用する
- 生体認証の利用
- 端末を操作する人を監視するカメラの設置
- 特権ID利用時には、作業者と監視者の2名体制にする
これに対し、物理的な管理方法には、次のような制約があります。
- リスク対応端末の設定
- ツールの導入・利用
- 導入時点で仕様を定めておく必要
- 人の確保の必要
- 自然災害で端末、あるいは端末室が利用不可になる
物理的な管理方法を導入するとその管理方法に付随したリスクがあり、さらに追加対応が必要となる面倒さがあります。
ですが、特権IDの性質・重要性から電子的な対応以外でアクセス制限を強固にすることは一度は検討すべき事項です。
システムの仕様も含めた検討と内部統制の整備が必要になるため、上記の例の組み合わせ、または他を追加し適切に整備してください。
特権ID管理における注意点
特権IDは権限上の制約や、システム上の制約があり、内部統制の構築や内部統制の運用には注意点がいくつかあります。
システム導入時にログの取得の仕様を検討する
モニタリングのためにはシステムからログを取得しなければなりません。
また、ログは大量でありデータベースに残し続けると容量が圧迫し他の業務が滞るおそれがあります。
特権IDはシステムと強く結びついているため、仕様の変更が難しいものです。
システム導入時あるいは内部統制を整備する際には以下を検討しましょう。
- システムの仕様には「ログが残ること」が望ましいこと
- 「ログの保存」について内部統制に組み込むことを検討する
ログの保存は、月ごとに取得する、記憶媒体に移して保存するといった様々な方法があります。
必要なログの保存と費用対効果・手間を考慮して整備してください。
初期パスワードを使用しない
ITシステムによっては、広く一般に初期パスワードが知られているものもあります。
稀にあることですが、初期パスワードをそのまま使用し続けることがあり、これは非常に危険ですので、必ず初期パスワードから変更を行いましょう。
特に監査人の立場であれは、初期パスワードの使用を発見したら強く不備に抵触することを指摘しパスワードの変更を要求してください。
緊急性との両立
特権IDの内部統制は不正使用防止のため構築しますが、そもそも特権IDの使用は不正や外部からの侵入に対しての緊急対応として使用する場合もあります。
内部統制の遵守を優先するのではなく、内部統制の目的の達成のための優先事項に対処するべきです。
あらかじめ緊急時の手順を整備し、内部統制の逸脱とならないように対応しましょう。
ポリシーの明確化
特権IDの使用に関するポリシーを策定し、すべての管理者に周知徹底しましょう。
特権IDの使用時には、どのような手続きが必要か、どの場面で利用が許可されるかを明確にし、ルール違反が発生しないようにするためです。
監査対応での注意事項
特権IDは監査を受ける場合には必ず検証対象になります。
監査対応に備えて次のことに注意して内部統制を運用してください。
- 特権IDで不備を出さない
特権IDの運用は他の内部統制より慎重に運用しましょう。
特権IDの内部統制に不備があれば、監査人は該当システム全体の内部統制、場合によっては内部統制全体を不備とすることもありえます。
「特権IDの管理がずさんであれば、システムを利用した活動、記録、関連する内部統制は全て信頼できるものではない」とそもそも論で解釈する以外に対応が難しいためです。
緊急性や例外も適切に対応し、記録を残し、妥当性を証明できるようにしましょう。
不備検出時の影響は非常に大きいので強く意識してください。
- 特権IDの監査資料の提出は慎重に
監査人は監査資料を入手し、それを監査調書に記録し残します。
秘密保持契約があるとはいえ情報漏洩の可能性はなくならないので、監査を受ける側は資料の提出には注意を払いましょう。
例えば「具体的なパスワードを提出しない」というものがあります。
特権IDの使用者一覧にパスワードは記さないようにすること、記されている場合には黒塗りして提出しましょう。
監査人に資料を提出する際に黒塗りを忘れてしまえば知れ渡ってしまうおそれがあります。
パスワード管理を検証するためと要求された場合には、
- パスワードポリシーを提出し解析されにくい設定であることを示す
- パスワードを入力しなければ入れないところを観察させパスワード設定が有効であることを示す
上記のような監査対応を行い、パスワードそのものは見せないようにしましょう。
理解している監査人であれば、特権IDのパスワードは資料として入手しなくても上記のような監査手続で足りることに気づけます。
しかし、システム監査の専門家以外でIT統制に詳しくない人は少なくないのが現状です。
内部統制は自衛のために整備・運用し、自衛のための手段です。
要求された資料の提出の要否は自身でも判断しましょう。
まとめ
特権IDの解説は以上となります。
当記事では、
- 基本的な内部統制項目
- 監査対応の注意事項
を解説しました。
特権IDはシステムと強く結びついたアカウントであるため、当記事がそのまま利用できないこともあります。
その際には、基本的な考え方や押さえるべき要所のための参考としてください。
当記事は以上になります。
最後までお読みいただきありがとうございました。
記事を読んだ感想、質問、疑問点あるいはご指摘事項がありましたら質問フォームにご記載ください。
可能な限りご回答させていただきます。
コメント