IT統制の中でも、システムやアプリケーションにおけるアクセス管理は骨子となる。そのときに問題となるのが、すべてのデータにアクセスできる特権ユーザーの存在だ。監査人の目線から、アクセス管理の重要性と特権ユーザーの管理の要点などを解説する。
金融商品取引法施行に伴い、財務報告にかかる内部統制の経営者評価および監査の制度が2008年4月1日開始事業年度より適用となる。制度の開始により、IT統制の整備は特に上場企業グループにとって急務となった。多くの企業が、すでにポリシーの策定やシステムの整備を行っている。しかし、対策が十分と断言できる企業はまだ多くない。
監査の目線で見たとき不安に感じるのは、アクセス管理が不十分な企業が多いことだ。とりわけ気になるのが、システム内のすべてのデータにアクセスできる「root」や「Administrator」といった特権ユーザーを安易に割り当てている現実である。全データへアクセスできる権限の存在は、システム障害の回復などには便利である。しかし実際は、すべてのデータへのアクセスは必要ないはずだ。
では、どのような対策をすればよいのか? 内部統制で重要となる「職務分掌」と「記録の保全」という観点からアクセス管理の重要性と、アクセス管理に際して重要となる特権ユーザー管理について説明する。自分の会社は監査に対応できるレベルであるか、判断の参考にしてもらいたい。