ITGC:ID棚卸の実践ガイド – 整備・運用の手順と注意点

ITシステム統制

当記事ではIT全般統制(ITGC:Information Technology General Control)におけるID棚卸プロセスの構築方法を解説します。

ID棚卸の目的、重要性、内部統制の整備、よくある質問を記載しました。

当記事をお読みいただくことでアカウントの「ID棚卸」統制の重要性や構築・運用について具体的に理解し実践に役立てられるでしょう。

また内部統制の評価をされる方にとっても評価ポイントの抑え方を理解できるようになります。

ぜひ最後までお読みください。

ID棚卸とは

ID棚卸は、システムに登録されているユーザとその権限の適切性を確認する内部統制手続です。

登録されている情報の検証、事後的な検証なので発見的統制に分類されます。

「ID棚卸」の位置づけ

ITGCではアクセス管理を一般に以下の統制項目を整備します。

  1. アカウント登録:新規ユーザの登録
  2. アカウント変更:ユーザの権限やアカウント情報を変更する
  3. アカウント削除:退職者や不要なユーザを削除する
  4. モニタリング:ユーザのアカウントの利用状況をチェックする(主に特権ID用の統制)
  5. ID棚卸:登録されているユーザが必要なユーザか、不要な権限がないかをチェックする
  6. パスワード管理:パスワードの設定、変更、ポリシー(複雑性、期限、履歴)を管理する
  7. 権限管理:付与される権限と役職・職務を管理する

当記事で解説する「ID棚卸」は5)を指します。

ID棚卸の重要性

アカウントはシステムに登録された後、ユーザ個人の異動や退職に合わせて権限変更またはアカウントの削除や無効化を適時に行わなければなりません。

しかし、実務では

  • システムに登録するアカウントが多い
  • 1ユーザが使用するシステムが多く、システムの分だけアカウントがあること
  • アカウント管理の担当者は、アカウント管理業務以外にも担当があること

といった事情により、アカウントを適切に管理しきれないことがあります。

また「アカウントの登録・変更・削除」の段階で、意図的ではなくとも適切に処理されなかったアカウントは発生してしまいます。

この適切に処理されなかったアカウントを発見し修正することを目的とした内部統制がID棚卸です。

不適切なアカウントが放置されれば、そのアカウントは不正目的で利用されるおそれがあり、情報の改ざんや悪用されるといったリスクとなります。

定期的なID棚卸の実施でアカウントを整理することが、アカウントの適切な管理にとって重要なのです。

ID棚卸の実施プロセス

ID棚卸は一般に以下の手順で実施します。

  1. システムからアカウント一覧を出力
  2. ユーザ部門がアカウント一覧を検証する
  3. 修正が必要なアカウントの修正手続を行う
  4. ID棚卸結果の承認を受ける

このID棚卸プロセスは特権IDや一般ユーザIDでも同様の手続になります。

手順をそれぞれ解説します。

システムからアカウント一覧を出力

ID棚卸を実施するのはシステム部門や内部監査部門が担当します。

以下では「ID棚卸担当者」と呼びます。

ID棚卸はシステムに登録されたアカウントの一覧を出力します。

上長の承認などダブルチェックをおこない、検証対象の抜け漏れが無いようにしましょう。

出力時の注意事項は当記事の「アカウント一覧出力時の注意点」にまとめていますのでそちらも含めて対応してください。

ユーザ部門がアカウント一覧を検証する

システムから出力した一覧をユーザ部門に送付します。

ユーザ部門は例えば営業部だったり、経理部門という組織単位です。

基本的に検証を行うのは部門の責任者レベルの人が行います。

ID棚卸担当者から責任者へ以下の依頼を出し、ユーザ部門の責任者は依頼に対応します。

送付物

  1. ID棚卸対象のアカウント一覧
  2. 回答票

依頼事項

  1. アカウントの所属確認: リストにあるアカウントの各ユーザが、該当の部門に所属しているか確認し、結果を回答すること
  1. 権限の適切性確認: 各アカウントに付与されている権限が、ユーザの職務や担当業務に照らして適切であるかを確認し、結果を回答すること
  1. 不適切なアカウントの申請: 職務上不適切な権限がある場合や、不要なアカウントがある場合は、「変更」「削除」を回答票に記載のうえ申請すること

修正が必要なアカウントの修正手続を行う

ユーザ部門からの回答を受け、修正が必要なアカウントの対応を行います。

この時、ID棚卸とは別に「変更」「削除」の内部統制を経る方法による場合もあれば、システム部門が棚卸結果の回答を受けて実施することもあります。

ITGCの視点からは、まとめず別にして対応するのが望ましいのですが、アカウント管理の目的達成の観点からみれば、手続を省略するかは検討の余地はあるでしょう。

ID棚卸結果の承認を受ける

修正対応をID棚卸担当者が実施し、確かめ終えたらID棚卸担当者の上長や部門の責任者などの承認を経ます。

  • ID棚卸が網羅的に行われたこと
  • 必要な修正が全てシステムに反映されたこと

の2点を確かめて承認します。

【実務編】ID棚卸の注意点

ID棚卸は全てのアカウントを検証し、適切な状態にすることがポイントです。

監査用語で表現すると網羅性と正確性が重要になります。

このためには、以下の2点に注意しましょう。

  1. システムに登録されている全アカウントを検証すること
  2. 修正が必要なアカウントへの対応を実施すること

システムの仕様は場合により異なるでしょうが、具体的な検証時の実施例を紹介します。

出力する際に、全アカウント出力されるようにする

ユーザ部門に配布するため部門ごとに出力すると、ユーザ部門に所属していないアカウントが漏れる場合があります。

あるいは、Excelで出力し、ユーザ部門ごとに分けてファイルを作成する際にフィルターのかけ方次第で漏れてしまう場合もあります。

網羅性を担保する手続、例えば「全アカウント合計と、出力したアカウント数あるいはユーザ部門から回答されたアカウント数を突き合わせる」といった手続を追加して漏れがないようにしましょう。

無効化されているアカウントまで検証対象とする必要はありません。

システムの仕様や管理のために削除ではなく無効化で対応するケースはありますし、それ自体に問題はありません。

ユーザ部門からの回答は全部門、全アカウント必ず回収する

責任者のポジションに居る人は多忙なのが通常です。

責任者が他の業務に注力していて、期限までに回収できないケースはそれなりにあります。

これといった処方箋はありませんが、期限前のリマインドや研修で内部統制への意義と協力を伝えておくなど対策をしましょう。

アカウント一覧出力時の注意点まとめ

アカウント一覧は当然機密情報ですから、セキュリティにも配慮しなければなりません。

システムからアカウント一覧を出力する際には以下の点に気をつけましょう。

  1. データの完全性と正確性の確保
  • 最新データの取得

出力する際は、システム上の最新のアカウント情報や権限情報を取得することが重要です。

古い情報が含まれると棚卸結果が不正確になり、リスクが適切に評価されません。

  • 対象範囲の網羅性

すべてのアカウント(特権ID、一般ID、グループアカウントなど)とその権限が出力されているかを確認し、誤って除外されたアカウントがないようにします。

  1. 出力データのセキュリティ保護
  • データの暗号化

出力されたアカウント一覧や権限情報には機密データが含まれるため、ファイルの保存や転送時には暗号化(例: パスワード保護、データ暗号化)を行い、不正アクセスを防止します。

  • アクセス制限

出力データへのアクセスは棚卸に関係する限られたメンバーのみに制限し、閲覧権限や編集権限を適切に設定します。

特に、共有フォルダを使う際には権限を見直します。

  1. 必要最小限の情報出力
  • 過剰情報の除外

棚卸に必要なアカウント情報と権限情報だけを出力し、不要な情報(例: パスワード情報や個人情報)は含めないようにします。

これにより、情報漏洩リスクを最小化できます。

  1. データフォーマットの統一
  • フォーマットの標準化

出力データのフォーマットを統一することで、データの閲覧や分析が効率化されます。

例えば、CSVやExcel形式に統一すると、関係者が確認しやすく、作業効率が向上します。

  • 項目ラベルの明確化

各項目のラベルや説明は明確にし、権限の内容が一目でわかるようにします。

特に複雑な権限が含まれる場合、詳細を説明するフィールドを追加することも有効です。

  1. 監査証跡の確保
  • 出力作業の記録

出力データがいつ、誰によって出力されたかを記録し、監査証跡として保管します。

監査や後からの検証が必要な場合に備えて、データ取得履歴を管理します。

  • 変更管理

出力データに関する変更があった場合(例: フィールドの追加や削除)、その変更履歴も記録し、監査対応に備えます。

  1.  データの正当性確認
  • 不整合チェック

出力されたアカウントや権限に不整合がないか、チェックします。

特に、無効なアカウントや退職者・異動者のアカウントが含まれていないか確認することが重要です。

  • 二重確認プロセス

出力データは複数人で確認するなど、チェック体制を強化し、重要なアカウント情報が漏れや誤りなく出力されているかを確認します。

  1. 出力ファイルの管理と削除
  • 出力後のファイル管理

出力データが棚卸作業終了後も残存していると、情報漏洩のリスクが高まるため、必要がなくなった時点で速やかにファイルを削除または安全に保管します。

  • バックアップの削除

出力データが不要なバックアップに含まれないよう注意し、棚卸終了後は不要なデータを完全に削除することでセキュリティを保ちます。

予防的統制と連携する

内部統制は一時点で良好な状態であれば良しというものではありません。

アカウント管理の場合は、

  1. アカウントを登録し
  2. ユーザがアカウントを用いてシステムを適切に利用し
  3. ユーザがシステムを利用しなくなる場合には、権限の剥奪やアカウントを無効化する

このアカウントの一連が全て良好な状態であれば、”適切なシステムの利用”という目的が達成されます。

ID棚卸は上記の1)と3)を事後的に検証する内部統制手続です。

2)は「モニタリング」統制が主に該当します。

当然ですが、事後的な検証だけでは”適切なシステムの利用”は達成できません。

不適切なアカウントが無いようにする、予防的統制もID棚卸と同様に重要になります。

アカウント管理では「ユーザの登録・変更・削除」が主な予防的統制です。

ID棚卸で不適切なアカウントが検出されたら、原因を調査し、再発防止策を講じて、より強固なアカウント管理にできます。

予防的統制と発見的統制をうまく連携させ、良好な内部統制を構築しましょう。

よくある質問や現場の課題

よくある質問や課題とその解決策・提案をまとめました。

実情に合わせて参考にしてください。

対象アカウントの範囲

  • どのアカウントが棚卸の対象になるのか(一般ユーザIDだけでなく、特権IDやシステムID、テスト用アカウントも含まれるのか)について、明確な基準があるか
  • 一時的なアカウントや退職者アカウント、未使用アカウントも含めるべきかどうか

解決策・提案

  • 棚卸の対象となるアカウントの種類(特権ID、システムID、テストアカウント等)を明確に定義し、関係者へ周知する
  • 一時的なアカウントや退職者アカウントも含め、対象範囲に基づいて一覧を作成し、チェック漏れを防ぐ
  • 定義に従って、対象アカウントを抽出できる管理ツールの導入を検討

権限の適切性の判断基準

  • アカウントに付与された権限が職務に対して適切かどうかを判断する基準が明確か
  • 特に、現場のユーザ部門が権限の適切性をどのように判断すべきか、具体的な基準や例示が必要になることが多い

解決策・提案

  • 職務ごとの適切な権限範囲を具体的に示すガイドラインを作成し、ユーザ部門の責任者に共有
  • 定期的にガイドラインを更新し、業務内容の変更や新たなシステム追加に対応
  • 業務ごとに想定される権限テンプレートを作成し、棚卸時の判断基準に活用

部門責任者による確認の負担

  • 部門責任者や現場がID棚卸作業に必要なリソースを確保できているか、確認作業が過度な負担になっていないか
  • 特に大規模な組織では、膨大なアカウントと権限を部門責任者が一人で管理・確認することが難しい場合がある

解決策・提案

  • アカウント一覧の自動生成ツールを活用し、棚卸作業を効率化
  • 各部門に棚卸担当者を任命し、責任者と担当者の役割を分担することで確認作業の負担を軽減
  • 棚卸の依頼・確認作業をサポートするオンラインツールやチェックシステムを導入

退職者や異動者アカウントの適切な処理

  • 退職者や異動者のアカウントが、すぐに無効化・削除されているか確認するプロセスがあるか
  • 実際にアカウント削除が遅れた場合の対応手順や、棚卸で退職者アカウントが見つかった場合の処理が明確に定義されているか

解決策・提案

  • 人事システムとID管理システムを連携させ、異動や退職の情報がリアルタイムで反映される仕組みを構築
  • 退職や異動が発生した際、アカウントを自動的に無効化する設定を適用
  • 定期棚卸のほかに、月次のミニ棚卸を実施し、定期的な確認体制を強化

アカウント共有の問題

  • 特権IDや共通アカウントが複数人で共有されている場合、棚卸時にその使用実態が適切に確認されているか
  • 共有アカウントの利用が認められている場合、使用者が記録されているかどうか、共有アカウントを監査できる仕組みが整備されているか

解決策・提案

  • 可能な限り個別アカウントを発行し、アカウントの共有を避ける
  • 共有が必要な場合は、特権アクセス管理(PAM)ツールを導入し、共有アカウントの利用状況を監視
  • 共有アカウントの使用時にはログイン履歴を確実に記録し、監査用に証跡を保持

アクセス履歴の確認と記録

  • アカウントごとにアクセス履歴や利用状況が確認できるか、また、未使用アカウントが特定される仕組みがあるか
  • 長期間使用されていないアカウントが自動で無効化されるような機能が実装されているかどうか

解決策・提案

  • アカウントのアクセス履歴や利用状況を監視するログ管理ツールを導入し、リアルタイムでの把握を強化
  • 長期間未使用のアカウントを自動的に無効化するルールを設定し、棚卸時の手間を減らす
  • 定期的にアクセス履歴をレビューし、不審なアクティビティを発見した際の対応フローを整備

最小権限の原則の適用

  • 各アカウントが「最小権限の原則」に基づき、業務に必要な最小限の権限だけを持つようになっているか
  • どのようにして特定の権限が適切かどうか判断するか、職務ごとに具体的なガイドラインがあるかどうか

解決策・提案

  • 棚卸結果をもとに、ユーザごとの業務に合わせて権限を最小化する設定を実施
  • 職務変更や新規業務に応じて、業務単位での最小権限を再評価し、アクセスの削減を検討
  • アカウントの作成・権限変更時にも最小権限の原則を遵守するようガイドラインを整備

アカウント管理と削除のプロセス

  • アカウントの登録、変更、削除のプロセスが整備されているか、定期的な見直しが行われているか
  • 棚卸で発見された不要なアカウントの削除が迅速に行われる仕組みがあるか

解決策・提案

  • ID管理システムに自動削除機能を設定し、特定期間使用されていないアカウントは自動的に無効化
  • 不要なアカウントや権限が見つかった際には即時対応する体制を整備
  • 退職や異動が発生した際、アカウント削除プロセスが迅速に実行されるよう、担当者を明確にする

棚卸結果の追跡可能性と証跡の保持

  • 棚卸の結果や修正措置が記録され、監査対応として必要な証跡が残されているか
  • 棚卸の実施頻度やその結果について、過去の実施履歴と改善プロセスが適切に保持されているか

解決策・提案

  • 棚卸の実施日、担当者、結果などの履歴を記録し、過去の棚卸と改善点の追跡が可能な状態を保つ
  • 棚卸の完了時には、報告書を作成し、内部監査や外部監査で利用できる証跡として保管
  • 結果に基づいた改善措置が実施されるプロセスを定め、実施状況も記録・追跡可能とする

ID管理ツールの利用とシステムの自動化

  • ID管理ツールやアクセス管理システムを利用して、棚卸の効率化や自動化が図られているか
  • 手動プロセスが多い場合の作業負担やリスクに対して、適切なツールを導入する計画があるか

解決策・提案

  • ID管理ツールを導入し、アカウント作成、権限変更、棚卸の自動化を進め、人的ミスのリスクを軽減
  • 手動プロセスが残る場合は、重要ポイントを自動化ツールで補完し、効率と精度を高める
  • 将来的なシステムのアップグレードを見据え、棚卸やID管理に必要な機能が揃うツールを選定

まとめ

ID棚卸は、システムのアカウント管理における重要な発見的統制です。以下の3点が特に重要です。

  1. 網羅性と正確性を重視
  • 全てのアカウントを漏れなく検証
  • 適切な修正対応の完了確認
  1. 予防的統制との連携
  • 「登録・変更・削除」の予防的統制と組み合わせることで、より強固なアカウント管理を実現
  • 棚卸で発見された不備は予防的統制の改善にも活用
  1. 実効性のある運用
  • システムからの正確なデータ出力
  • ユーザ部門との確実な連携
  • 承認プロセスの確実な実施

適切なID棚卸の実施により、システムアクセスの安全性を確保し、内部統制の有効性を高めることができます。

ID棚卸はアカウント数の多さから、負担の大きい内部統制です。

当記事を効率的なID棚卸の実施に役立てていただければ幸いです。

最後までお読みいただきありがとうございました。

記事を読んだ感想、質問、疑問点あるいはご指摘事項がありましたら質問フォームにご記載ください。

可能な限りご回答させていただきます。

コメント