見出し画像

アクセス管理の課題を克服する!内部統制のベストプラクティス

SHIFT Group 技術ブログ

はじめに

こんにちは、SHIFT「ワスレナイ」ブログ編集部です。
自社SaaS管理ツール「ワスレナイ」について情報発信しながら、
SaaSにまつわるお役立ち情報をお届けしています。

さっそくですが、内部統制のアクセス管理を正しくできていますか?
特にSaaSのアクセス管理についてはリモートワークの普及から利用が急速に拡大してきたため、管理体制が整っておらず、工数もかかることから手が回らずおろそかになりがちではないでしょうか?そのため、アクセス管理は内部監査での指摘も受けやすい部分のひとつとなっています。

また、上場企業あるいはIPOを目指している企業については、J-SOX基づく内部統制は避けることができません。内部統制上、SaaS含めアクセス管理を行わないといけませんが、管理が複雑になると、通常業務に支障がでますし、抜け漏れなどがでて、正しい管理ができなくなります。

そこでオススメなのが、「SaaS管理ツール」です。 SHIFTで提供している無償のSaaS管理ツール「ワスレナイ」 では、自動でSaaSのアカウント情報を取得し、一元管理できるので、簡単にSaaSのアクセス管理ができるようになります。また、シャドーITについても検出できるので、セキュリティ対策にも利用可能です。

そこで本記事では、J-SOXにおけるアクセス管理の課題と解決策のひとつであるSaaS管理ツール「ワスレナイ」についてお話しします。

この記事はこんな方におすすめ

  • 内部統制の担当者

  • J-SOXをはじめとした内部統制におけるITのアクセス管理にお悩みの方

  • IPOを目指してJ-SOX対応検討中の方

  • アクセス管理にお悩みの情報システム部門の方

J-SOXとは

内部統制におけるIT統制のアクセス管理を考える前に内部統制についておさらいします。 内部統制の目的は、企業がその業務を効果的かつ効率的に遂行し、法令や規則に準拠し、財務報告の信頼性を確保するための枠組みを提供することです。これにより、企業はリスクを管理し、持続可能な成長を実現することができます。

内部統制に関するメインの法律は2つあります。

1つ目は会社法に準ずるもので、罰則規定などはありません。
2つ目は、金融商品取引法いわるゆるJ-SOX法です。
こちらは、米国のSOX法をモデルにした日本の法律です。こちらは罰則規定などもあり、上場企業は対応が必須となります。

ここから、J-SOXについて話します。
上場企業はJ-SOXに基づく、内部統制が求められます。 また、J-SOXについては4つの目的と6つの要素から構成されます。 

6つの要素のうち、ITへ対応についてはIT全社統制、IT全般統制、IT業務統制の3つに分類され、この後詳しくご説明します。

IT全社統制

IT全社統制は、企業全体のIT環境における統制を指します。これは、企業のITガバナンスやリスク管理の枠組みを形成し、全社的なIT戦略や方針を策定・実行するための統制です。

  • ITガバナンス
    企業のIT戦略とビジネス戦略の整合性を確保し、ITリソースの最適な配分を行うための枠組みです。

  • リスク管理
    ITリスクの識別、評価、対応策の策定を行い、リスクを最小限に抑えるためのプロセスです。

  • コンプライアンス
    法律や規制、内部ポリシーに準拠するための統制です。これには、J-SOXやGDPRなどの法規制への対応が含まれます。

  • ITポリシーと手続き
    ITに関する全社的なポリシーや手続きを策定し、従業員に周知徹底することです。

IT全般統制

IT全般統制は、ITシステム全体の運用に関する統制を指します。これは、ITシステムの信頼性とセキュリティを確保するための基本的な統制になります。この中にアクセス管理、アカウント管理も含まれ、ワスレナイで強化できる部分です。

  • アクセス管理
    システムやデータへのアクセス権限を適切に管理し、不正アクセスを防止するための統制です。

  • 変更管理
    システムやアプリケーションの変更を適切に管理し、変更によるリスクを最小限に抑えるためのプロセスです。

  • 運用管理
    システムの運用を適切に管理し、安定したサービス提供を確保するための統制です。これには、バックアップやリカバリ、インシデント管理が含まれます。

  • システム開発と導入
    新しいシステムやアプリケーションの開発・導入プロセスを管理し、品質とセキュリティを確保するための統制です。

IT業務統制

IT業務統制は、特定の業務プロセスやアプリケーションに対する統制を指します。これは、業務プロセスの正確性と完全性を確保するための統制になります。

  • 入力統制
    データ入力の正確性と完全性を確保するためで、入力データの検証やエラーチェックが含まれます。

  • 処理統制
    データ処理の正確性と完全性を確保するため、処理結果の検証や異常検出が含まれます。

  • 出力統制
    データ出力の正確性と完全性を確保するため、出力データの検証や報告書のレビューが含まれます。

  • データ管理
    データの保存、保護、廃棄に関するもので、データの暗号化やアクセス制御が含まれます。

その中でもIT全般統制のアクセス管理については内部監査での指摘が多い箇所です。 中でも、よくある課題をご紹介したいと思います。

J-SOXにおけるIT統制の課題

よくあるアクセス管理に関する課題はこちらの3つになります。

過剰なアクセス権限の付与と定期的な見直しの欠如

新入社員が入社時に全てのシステムに対する管理者権限を付与されるなど、社員やユーザーに対して必要以上のアクセス権限が付与され、情報漏洩や不正アクセスのリスクを高めます。

また、部署異動後も、以前の部署のシステムにアクセスできる権限が残っていることや退職した社員のアカウントが削除されないなど、アクセス権限の見直しが定期的に行われないため、異動や退職した社員が依然としてシステムにアクセスできる状態が続くこともあり、情報漏洩や不正アクセスに繋がります。

アクセス権限の一元管理の欠如

各システムごとに異なる管理者がアクセス権限を管理しており、全体の把握が困難なことや新しいシステムが導入されるたびに、個別にアクセス権限を設定する必要があり、非常に管理工数がかかります。

また、複数のシステムやアプリケーションに対するアクセス権限が一元管理されていないため、管理が煩雑になり、セキュリティリスクが増大します。これにより、全体の把握が困難になり、適切なアクセス権限の設定や変更が遅れることが課題としてあります。

アクセスログの不備と監視の欠如

アクセスログが一定期間後に自動的に削除される設定になっていると、誰がいつどの情報にアクセスしたかを記録するアクセスログが不十分であるため、不正アクセスの追跡が困難になります。

また、アクセスログが適切に監視されておらず、異常なアクセスが見逃されることがあります。

ここまで、ITの内部統制のアクセス管理の課題をお話ししました。では、どのようにすれば課題が改善できるのでしょうか?

ズバリ、SaaS管理ツール「ワスレナイ」を使ってみることです。

「ワスレナイ」で対応できること

これらの課題に対して、SHIFTが提供するSaaS管理ツール「ワスレナイ」を利用することでアクセス管理を強化できます。そのポイントは3つです。

①従業員の入退社、異動に合わせてアカウントを発行・変更・削除

社員の所属や雇用形態などの属性に応じてアカウント発行ルールを設定することができます。また、このルールに加え、退社などのイベントに応じて、アカウントの自動発行・削除も可能となります。

これによって、異動や入退社に伴うアカウントの権限変更が適切かつ簡単におこなうことができ、退職者のアカウント削除漏れも簡単に発見できます。 

②アカウントの一元管理

ワスレナイでは、SaaSなどの資産を自動と手動の両方で登録することが可能です。これにより、利用しているSaaSを中心としたIT資産の一元管理が可能となります。

各システムごとに管理していたツールもワスレナイに登録することでまとめて管理できるので、それぞれのシステム管理者に対して棚卸の実施を促さずとも退職者や部署異動してアカウントが不要になった方など、不適切なアカウントを検知できます。 

シャドーITの検知

ブラウザの拡張機能を使って、社員が「ワスレナイ」に未連携のソフトウェアを利用したかどうかを検知することができます。

 最後に

ここまで、内部統制のアクセス管理に関する課題と解決策となり得る無償のSaaS管理ツール「ワスレナイ」についてお話ししました。

ワスレナイでは、ソフトウェアのアカウント管理だけではなく、将来的は特権IDの管理や入退室管理など、アクセス管理についてサービスを強化していきます。

 内部統制のアカウント管理についてお困りの方や社内のアクセス管理を強化したいと考えている方、一度ワスレナイをご検討してみてはいかがでしょうか?

「ワスレナイ」は、アカウントの一元管理や自動処理のほかに、利用料が一切発生しないという特徴があり、さらには初期費用、利用料、サポートすべて無料で行っております。

「ワスレナイ」は無償のSaaS管理ツールであるという点から、お試しで導入をされる企業様もいらっしゃいます。実際に、導入企業様からは一元管理に好評をいただいており、「どの部署の誰が、どのSaaSを利用しているのか把握しやすくなった。」と言うお声を多くいただいております。

気になった方はぜひ以下からお問い合わせください。

▼ワスレナイとは?(こちらはLP)
https://lp.wasurenai.jp/ 
▼無料で使ってみたい方はこちら(お問合せページ)
https://lp.wasurenai.jp/contact.html 

執筆者プロフィール:SHIFT「ワスレナイ」ブログ編集部
ワスレナイのSNS発信担当をしております。2024年3月より、SHIFT「ワスレナイ」ブロガーの担当になりました。SaaS管理ツール「ワスレナイ」について情報発信していきます。

お問合せはお気軽に

SHIFTについて(コーポレートサイト)
https://www.shiftinc.jp/

SHIFTのサービスについて(サービスサイト)
https://service.shiftinc.jp/

SHIFTの導入事例
https://service.shiftinc.jp/case/

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら

PHOTO:UnsplashFlyD

最後まで読んでくださり、ありがとうございます!

御社サービスのご相談はお気軽に。
ソフトウェア品質のプロがお伺いします。