内部不正対策の再考、Azure ADなどを使った具体的な権限管理の方法を解説する
コメント
注目のコメント
内部統制評価を生業にしている身として、アクセス権管理は悩ましいものです。
まず、アクセス権管理という統制はリスクに対して間接的な統制でしかないです。なので、アクセス権管理に不備があっても、それが即、リスクの顕在化を招いている訳ではない。
例えば、会計システムへのアクセス権設定で、伝票入力と伝票承認の権限を誤って同一人物につけていたとしても、その該当者が自分が入力した伝票を自分で承認したかどうかは別問題。
また、アクセス権管理は削除や権限変更が、退職や職務変更に応じて適時にできているかと言うと、人間なので必ず運用ミスが生じます。アクセス権の削除や変更のトランザクションはあまりに数多いので、そりゃ運用ミスが出ます。
そして最も悩ましいのは、悪意ある者が不正をする場合、大抵は『アクセス権を正当な理由で保持している人が不正をする』という点です。なので、不正に対してアクセス権管理という統制はほぼ意味がないのです。
なので私は、アクセス権管理を重視して考えるアプローチ自体が、内部統制の評価として正しいアプローチとは思えないです。UEBAはかなり前から単体のアプライアンスでのサービスなどで存在てしましたが、私の周囲(金融機関界隈)で導入しているところを聞いたことがありませんでした。しかし、UEBAは今後導入が増えていくのではないかと思います。
SIEMが拡がりログを集めるといったことが当たり前のようになってきた感がありますが、自力でユーザの行動分析するのはなかなか難易度が高いですし、アノマリ見つけることはさらに難しい、というか無理だと思います。
そこで、この集めているログ達+SIEMにUEBAをアドオンすることで、行動分析ができるようになる、ようやくその下地ができてきていると考えています。権限設定で機能を使えなくするか、システム外の運用ルールで統制するか、どちらかが大きな2つの方法でしょう。
極端な例。
「包丁を持っている人は、人を殺しそうだから包丁は渡さない」という考え方が権限設定。
「みんなに包丁渡すけど、人は殺しちゃダメですよ」と、法やモラルでルール違反をコントロールする考え方が運用ルール。
何方が良いか?
運用ルールで問題が無ければベストですが、モラルが低下すると権限設定に頼らなくてはならなくなります。
組織の規模、人の素養、織内ルールの策定方法と周知方法、などが絡んでくるので一概には答えは出ない問題です。