内部統制におけるアイデンティティ管理解説書

ISACA名古屋支部、大阪支部、東京支部の総会、JNSA総会に出席した、総会紀行も終わりました。
各支部、団体の個性が出ていて、興味深いものでありました。

ところで、JNSAが発表した「内部統制におけるアイデンティティ管理解説書」、仕事の合間に少しずつ、読み進めていたのですが、とても参考になるものでありました

内部統制におけるアイデンティティ管理解説書

しかし、内容に異議を唱えるつもりは無いですが、’アイデンティティ管理’と銘打っているからには、足りないことがあると思いました。

私も、メインフレームでのアクセスコントロール製品である、RACF(IBM)やCA-Top Ｓｅcretを取り扱ったことがありますので、本解説書の言わんとしていることは、良く理解できませす。
’その導入において要件定義・基本設計といったフェーズを軽視したために、それ以降の導入工程においての想定以上の工数の増加や、想定した期待効果が創出できないといったことが続出した。’は、その通りだと思います。機能は、要件を実現するための手段にすぎません。ID管理やアクセス管理の要件がきちんと定義されていることは、重要です。そのためのガイドとして、この解説書が編まれたのですが、ID管理の有効性を維持するためには、本書に記載されていないえすが、定期的なID、アカウントの棚卸が欠かせません。
ユーザID、アカウントは必要と判断されれば、作成申請は行われますが、削除の申請は忘れられがちなのも事実です。また、申請はしてみたが、使われないとか、必要性が変わったのに高い権限のままになっているとかいうことは、決して珍しくないのです。そこで、そういったIDを再検証し、不要なIDの削除や権限の変更など実施することが肝要です。
?　ユーザID、アカウントの必要性検証
　　 登録されているID、アカウントの必要性について、再検証します。
　　 異動や職務変更などで、不必要となった権限を変更したり、場合によてはIDの削除も必要です。
?　退職者IDの検証
　 　退職や契約期間お満了などで不要となったIDが残っていないかを検証します。
　　 退職者のIDを残しておき、それを外部から不正に使用されら事例があります。
　　 退職手続きで削除されている筈ということでなく、検証しましょう。
?　未使用IDの検証
　　 ?の必要性検証でも、取り敢えず残して残置しておこうというIDを排除できません。
　　　そこで、一年以上の未使用のIDを抽出し、必要性を確認できない限り、削除しましょう。
　　　?との違いは、原則は削除であり、残置は必要性が証明された場合の例外であることです。
?　 特権、管理者権限
　　　システム特権、管理者権限IDついて、上記に準じた再検証を実施します。
　
上記の再検証を定期的に実施することで、登録されているユーザID、アカウント中の’ゴミ’を排除することができます。実施頻度ですが、?は年に一回以上、?と?は複数回の実施が望ましいです。
以外に手間がかかるので、あまりに短い間隔だと、検証作業が終わらないうちに次の実施期日がきてしまったということに成りかねません。そうなると再検証が形骸化してしまう危険があるので、工数上無理の無い範囲で良いと思います。重要なのは、定期的検証を継続することです。
特権、管理者権限IDに関しては、そのリスクの大きさや検証すべき件数も一般IDの比して少ないので、実施頻度は一般IDより多くすべきだと思います。
本書は、アクセスコントロールやシングルサインオンなどID管理製品の導入前の作業工程のガイドを目的なので、導入後の再検証作業は作成目的外なので、軽視している訳ではないのだとは思いますが、内部統制のID管理と謳っているのですから、導入後のフェーズとして言及されていても良いのではないでしょうか(それらしき記述はあるのですが、説明不足という気がしました)。
とは言いつつ、ID管理を構築していく上で、参考にすべきドキュメントであると思います。