複式簿記・会計システムとゼロトラスト・アーキテクチャ、そして収斂進化
こんにちは、丸山満彦です。
とある理由で公認会計士の資格をとったわけですが、そして気づいたことが、複式簿記システムがよくできていること。そしてその上で、個々の仕訳処理の承認と、決算時の処理、そして内部監査を含む内部統制、そして外部の独立監査、この全体の仕組みがよくできているということです。時々、粉飾決算の問題はあるものの、その事故の発生割合は比較的少ないと言えると思います。
さて、それがどうゼロトラスト・アーキテクチャーと関連するのかということですが、、、
まず、ゼロトラスト・アーキテクチャーを簡単に復習しましょう。PwCジャパンのウェブページの「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」がわかりやすいので、そこを参考にしてみましょう。
NISTのゼロトラストの考え方について、図2に示しています。
①すべてのデータソースとコンピューティングサービスはリソースと見なす
②ネットワークの場所に関係なく、全ての通信を保護する
③企業リソースへのアクセスは、セッション単位で付与する
④リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する
⑤企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する
⑥全てのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
⑦企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する
さて、これを会計システムとマッピングしていきましょう。。。
①すべてのデータソースとコンピューティングサービスはリソースと見なす | 会計では、財産的な価値や義務があるものは全て勘定科目に記録されますよね。。。 |
②ネットワークの場所に関係なく、全ての通信を保護する | 会計帳簿を昔はボールペンで書いていたということですかね(消せない、濡れても滲まない...) |
③企業リソースへのアクセスは、セッション単位で付与する | これ重要です! 会計処理は仕訳単位で都度承認する。コクヨの仕訳伝票には承認欄がついていますね。。。 |
④リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する | これも重要です! 処理の重要性に応じて決裁ルールを決める。日々の文房具の承認は購買課長の承認で良いが、本社ビル用の土地の購入は取締役決議が必要ですよね。 |
⑤企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する | 複式簿記の仕組みと、各組織における予実分析、経理部門による分析等による日常の監視に当たりますかね。 |
⑥全てのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する | 現金や預金通帳、銀行印、有価証券等を扱える人は事前に厳格に決められていて、取引をする前に事前承認をしますよね。 |
⑦企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する | 第二線としての経理部門、第三線としての内部監査部門の役割ですかね。。。 |
類似性がありますよね。会計のわかっている人は、ゼロトラストが絶対わかると思います!!!お金の保護から始まったか、デジタル資産の保護から始まったかの違いがあるものの、同じような「資産の保全」に関連することですから、内部統制に通じ、同じような構造になるのでしょうね。
さらにゼロトラスト・アーキテクチャというかこれらのデジタル資産保護で求められるのは、複式簿記的な自律的なチェック機能かもしれませんね。複式簿記の仕組みは本当によくできています。。。
逆に、ゼロトラスト・アーキテクチャから会計システムが学ぶべきことは、その実行の仕方でしょうね。
会計システムでは、多くが人を解して処理されますが、コンピュータ処理上の多くは自動承認となります(トランザクション量が違いすぎますからね...) 。これからは会計システムでも、AI等を活用した自動承認処理の導入が進むでしょうね。
独立して進化してきたにもからわらず、類似環境に置かれたことによりよく似た形態になることを収斂進化 (Convergent evolution) [wikipedia]と言います。
有名な例は、
・魚竜(例えば、イクチオサウルス)とイルカやサメ
(wikipedia)
・翼竜(例えば、プテラノドン)とコウモリや鳥
(wikipedia)
がありますね。
会計システムとゼロトラスト・アーキテクチャも同じなのかもしれませんね。。。
Comments