米軍 情報セキュリティ監査 多数の不要アカウントが存在?
こんにちは、丸山満彦です。ITmediaの記事からですが・・・、米軍関係組織の情報セキュリティ監査の結果、不要なアカウントが多数放置されていたようですね。アカウントの発行と廃止は、情報セキュリティのはじめの第一歩なので、これがいい加減だと心配ですね・・・。
【翻訳】
■ITmedia
・2006.01.12 米軍に多数の不適切なアカウント、セキュリティ監査で明らかに (1/2)
・2006.01.12 米軍に多数の不適切なアカウント、セキュリティ監査で明らかに (2/2)
【原典】
■eWeek.com
・2006.01.10 Security Audit Flags Thousands of Military User Accounts
民間企業でも、このような問題は少なからずありますね。私の個人的経験ですが、米国企業より日本企業のほうがこのあたりの意識は低いので、米軍でもこういう問題があるのであれば、日本でも心配ですね。
米国企業の例で言えば、人事異動の度に人事データとともにIDの休止、廃止の申請処理が行われることになっているだけでなく、システムの重要性に応じて定期的(1ヶ月、3ヶ月毎)にIDの棚卸がされていました。
IDの棚卸は、システム運用をしている責任者から、システムオーナに対して、現在発行されているIDの一覧を送付し、システムオーナが不要なIDがないことを確認し、システム運用責任者に回答をしていました。
つまり、発見的コントロールも利用して、不要なIDが存在しないように内部統制を整備・運用していたということです。
Comments
そうなんですよね。発見的コントロールなんですよね。IDの管理・運用って。
企業のM&Aがすすむにつれて、IDを生成させたり、リンクさせたりすることは、誰もが考えることなんですが、以外に見落とされているのが、IDを消去・無効化、もしくはリンクを切るという仕組みなんです。
ある企業をインタビューしたときなんか、正規IDが5,000ぐらいなのに、使われていないIDが20,000 あるという話を伺ったこともあります。
Posted by: shita | 2006.01.16 22:25
shitaさん、コメントありがとうございます。ID管理は実に重要な問題なんだろうと思うんですね。汎用機の時代は、ID管理はそんなに難しくなかった。つまり、汎用機の入り口でID管理をしてしまえばよかったわけです。ところが、システムが分散してしまうと、IDも分散してしまい、一人の人がたくさんのIDを持つようになった。当然、一つ一つのシステムでID管理を従来どおりすればよいわけですが、実際には、それが十分にはできていない。ということになっていると思います。
複数のシステムにまたがったID管理をする必要があると思いますね。これは、財務報告に係る内部統制の監査の局面でも、多くの監査人が気にするところだと思います。
するべきことはシステム毎にID管理ができていることです。
それを実現するために、人力で一つ一つのシステムをチェックしながらやってもよいし、ID管理のシステムを使ってID管理を統合的にしてもよいです(財務報告に係る内部統制の観点からは・・・)。ただし、業務の有効性・効率性の観点からは、ある程度以上の人数がいて、ある程度以上のシステムがある場合には、ID管理のシステムを使って行ったほうが有効かつ効率的にできるのではないかと思います。
Posted by: 丸山満彦 | 2006.01.17 11:31