みなさんは、内部統制の一環として求められる「IT全般統制」、特にアクセス管理の重要性をご存知でしょうか？独立行政法人情報処理推進機構（IPA）が公表した2024年の不正アクセス届出状況によると、不正アクセスに関する届出は166件あり、そのうち実際に被害が確認されたのは132件（約79.5％）に上ります。 

原因別件数の主な内訳は、以下のようになっています。 

• 古いバージョンの使用や、修正プログラム・必要なプラグインの未導入：41件 
• 設定の不備：33件
• ID・パスワード管理の不備：23件 

また、侵入経路が判明しているケースでは、VPN装置の脆弱性やリモートデスクトップの設定不備が多く報告され、44件が該当しました。これらはすべて、ランサムウェア攻撃へと発展しています。 

IPAはこうした現状を受けて、以下の点を強く推奨しています： 

アクセス管理の不備や脆弱性対応の遅れが、重大な被害につながるリスクは年々高まっています。企業のIT全般統制を見直すうえで、「誰が」「いつ」「どこに」アクセスできるかという情報資産の管理体制の強化が、今こそ求められています。 

「IT全般統制」と「アクセス管理」の位置づけ

企業のDXやテレワークが加速し、このような不正アクセスの脅威が高まっていく中で、内部統制の見直し、即ち企業の“守り”の部分の強化が進められています。

内部統制のうち、特に情報システム部などの部署が担っている要素の一つに「IT全般統制」があります。

「IT全般統制とはリスクアプローチである」とも表現されることからもわかるように、IT全般統制とは、情報システム全体として固有に持っている各種リスクを低減するための活動のことを指します。

具体的には、システム要件定義書や基本設計書のレビューと適切な権限者による承認、システムに備わっているユーザー認証機能、システムログの監視と管理対応、バックアップの取得と手続きなどのコントロールを指します。

「IT全般統制」は、「システム開発・変更」「システム運用」「アクセス管理」「外部委託管理」に区分されますが、冒頭で述べたように不正アクセスの被害が増加する中で、この「アクセス管理」は近年特に重要視されています。

「アクセス管理」のチェック項目

貴社の「アクセス管理」におけるリスクの特定と対応は十分になされているでしょうか。

例えば、アクセス管理における内部統制が適切になされているかについては、以下のような観点別の項目があげられます。

✓アカウントの申請・発行

社員の入社・異動・退社に伴い、適切にアカウントの発行・変更・削除を行っている

✓アカウントの棚卸し

アカウントの点検を適宜実施し、長期間利用されていないアカウント等は削除しているか
また、その記録が保管されているか

✓ログのモニタリング

アクセスログを収集し、適切な項目をモニタリングしているか

貴社のアクセス管理に対する統制はいかがでしたでしょうか。
不正アクセス等の脅威が高まる中、今一度、内部統制ないしはIT統制を見直し、適切なリスクの認識と対応策を講じることで、長期的な企業活動の継続に繋がることを願っております。

まとめ

企業のIT環境がますます複雑化し、サイバー攻撃の手口も高度化する中で、「アクセス管理」は、内部統制の中でも特に重要な領域となっています。 

アクセス管理を徹底することで、組織内の「誰が、いつ、どこにアクセスできるか」を明確にし、リスクを未然に防ぐ体制を構築することができます。アクセス管理は一度整備して終わりではなく、継続的な見直しと運用が必要です。企業のIT全般統制の信頼性を高めるためにも、今一度、自社の体制を見直してみてはいかがでしょうか。 

かもめエンジニアリングでは、アクセス管理に必要な機能を備えた「KAMOME SSO」「Keyspider」「Keygateway」といった国産ソリューションを提供しています。 

国産ソリューションであるため、日本企業特有の業務や監査要件にフィットしやすく、技術支援や運用設計のサポートも柔軟に対応しております。 

導入のご相談や製品の詳細にご興味がございましたら、下記よりお気軽にお問い合わせください。