木曜日 9 11, 2008

これからのJ-SOX対応は、「認証・アクセス管理」と「運用コストの低減」がポイントです。

こんにちは。
私の仕事はお客様が現在抱えているビジネス上の課題を解決するためにSunの製品やソリューションを提案することです。担当製品は、アイデンティティ管理ソリューションを構成する、Identity Manager,Access Manager,Directory Server Enterprise Editionです。
最近、お客様がID管理分野製品やID管理ソリューションで解決したいと思っている課題はやはりJ-SOXや内部統制、監査絡みが非常にに多いです。
ここでは、今後の企業のJ-SOXに関する対応として、「エンタープライズ・リスク・マネジメント2008」での「「日本版SOX法(J-SOX)対応の最新動向と『After J-SOX』における企業価値向上への取り組み」フォーラムの記事に実際の現場での状況を追加しながらまとめてみたいと思います。

一つ目は、OSアカウントに対する「認証・アクセス管理」です。
システム本番環境に変更を加えるリスクを統制するうえで、特に「アプリケーション変更管理」と「認証・アクセス管理」の重要性を訴えた。 [SS&ERM2008]「J-SOX対応、今後の課題は運用コスト」、After J-SOX研究会メンバーが語る:ITpro
いわゆるIT全般統制の範疇において、システム本番環境のOSに対する「認証・アクセス管理」が非常に注目されています。実際、多数のお客様で、OSアカウントの一元管理をしたいということで、Identity Manager,Directory Server Enterprise Editionでの解決を検討されています。そこで製品の機能説明や、お客様のやりたいことが製品として実現できるかなどをお話しに行くことがあります。
そんな中でよく聞くのは、
  • それぞれのOS上で別個にID/パスワードを管理しているので、管理が非常に煩雑で適切なタイミングでIDの削除などができていない。したがって、本番環境から削除しなくてはいけないアカウントが残っていることがある。
  • OS上のアカウントのパスワード管理(パスワードの有効期限や定期的な変更、パスワードとして使用する文字列の強制など)ができていない。
などです、この傾向は、ここ2年ほどずっと変わりません。OSアカウントの管理は、業務側や経営者からは見えづらいものなので、今まで情報システム部の努力とがんばりで管理されてきたからだと思います。J-SOXを代表する法令やISMSなどをきっかけに第三者の目によって、人手による管理や管理体制の甘さが明らかになってきたのだと思います。
この傾向は今後も続くと思います。
UNIXなどのITシステムがない企業はないので、ほとんどすべての企業において、この課題は共通だからです。
企業の財務状況などによってIT予算は割り当てられていくことになるので、すべての企業が一気に対応するというよりは徐々に対応が進んでいくという流れになると思います。

二つ目は内部統制やJ-SOX対応に関わる「運用コストの低減」です。
内部統制の整備・運用で先行している米国では、運用コストが2年目に16%、3年目に36%減ったという。
... 中略 ...
運用コストをより減らすための方策として永井氏は、バックヤード業務をシェアードサービス・センターに移管するなどして「統制単位数を減らす」、子会社や部門ごとに異なる業務を標準化するなどして「サブプロセス数を減らす」、ワークフロー管理ソフトを導入するなどして「システムで自動化する」、といった例を示した。
[SS&ERM2008]「J-SOX対応、今後の課題は運用コスト」、After J-SOX研究会メンバーが語る:ITpro
米国で2年目以降に運用コストが削減されていったというのは周知の事実です。Sun 自身もIdentity Managerを導入することで大幅なコスト削減を実現しています。
アイデンティティの統合を通じて、サンでは運用開始1年目で純額400,000ドルのコスト削減が実現していますが、IBISプロジェクトの進行とともに今後もさらなる削減が見込まれます。
Sun Inner Circle Vol.59 - サンの自社IT統合プロジェクトのその後・・・・。
ここで重要なのは、「なにもしないでほっておけば勝手にコストが減ってくるわけではない」ということです。
コスト削減のためのIT投資を行なうことが大事です。
実際、お客様と話していると、
  • 今まで各アプリケーション毎にID管理をしていたので、統制ポイントが多かったけど、ID管理システムを導入して、集中管理をすることで統制ポイントが減り、監査工数が削減されることも期待している。
  • 今まではCSVデータやエクセルを駆使して人手でIDの棚卸しや権限情報の確認を行なっていたけど、ID管理・監査システムで自動化・一元化することで運用コストの削減を狙っている。
  • 実績のあるID管理・監査製品を使用することで監査人に対して、監査技法の有効性や正確性を監査人にアピールできる。
などとIT全般統制におけるアクセス権限管理・監査に関するコストの削減を意識したお話になることもあります。
この傾向は、昨年の末くらいからだと思います。
J-SOX対応の1年目というよりは、2年目以降のコスト削減を意識したIT投資の検討が企業において徐々に開始されてきているという流れを感じます。

最後にまとめておきます。今後(っというか今年)のJ-SOX対応は、
  • OSアカウントに対する「認証・アクセス管理」
  • 内部統制やJ-SOX対応に関わる「運用コストの低減」
が大きなポイントになります。検討をまだされていない方はぜひご検討下さい。

_kimimasa

木曜日 11 08, 2007

【jp.sun.com ソリューションの紹介】サンの内部統制ソリューション - 無料IT統制診断

こんにちは。
jp.sun.com のソリューションを紹介します。
サンの内部統制ソリューション - 無料IT統制診断ってことで、FlashコンテンツのIT全般統制簡易アセスメントを無料で受けていただけます。質問(選択式で全部で30個くらい。)に答えていくことで、IT統制度が5ポイント中何ポイントかと、それぞれの統制目標がどの程度達成されているか。という結果が出ます。
IT全般統制簡易アセスメントとは、COBIT for SOXを元にした簡易版アセスメントです。レポートによりCOBIT for SOXで挙げられている12のIT統制目標の弱点が判明し、J-SOX対応に向けての指針が明確になります。
サンの内部統制ソリューション - 無料IT統制診断


私は個人的にこういうツールを見ると試さずにはいられません。。
_kimimasa
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日