みなさんは、内部統制「IT全般統制」のアクセス管理についてご存知でしょうか？

経済産業省を親組織とする独立行政法人 情報処理推進機構によると、2020年の不正アクセス届出数は187件と2019年の89件、2018年の54件から大幅に増加しています。

また、2020年の原因別件数の主な内訳は、「設定不備」32件、「古いバージョン・修正プログラム未導入」27件、「パスワードリスト型攻撃」17件となっており、

情報処理推進機構の考察では、「2020 年は、会員制サイトへのパスワードリスト攻撃等のログイン試行による不正ログインが原因となった、 情報窃取やポイント交換の被害が多く見られた。」と述べられています。

2020年のリスト型攻撃による被害は、動画配信サービス「Hulu」や三越伊勢丹の被害などがあります。2021年には、マイナビ転職のWeb履歴書21万件の流出などがありました。

「IT全般統制」と「アクセス管理」の位置づけ

企業のDXやテレワークが加速し、このような不正アクセスの脅威が高まっていく中で、内部統制の見直し、即ち企業の“守り”の部分の強化が進められています。

内部統制のうち、特に情報システム部などの部署が担っている要素の一つに「IT全般統制」があります。

「IT全般統制とはリスクアプローチである」とも表現されることからもわかるように、IT全般統制とは、情報システム全体として固有に持っている各種リスクを低減するための活動のことを指します。

具体的には、システム要件定義書や基本設計書のレビューと適切な権限者による承認、システムに備わっているユーザー認証機能、システムログの監視と管理対応、バックアップの取得と手続きなどのコントロールを指します。

「IT全般統制」は、「システム開発・変更」「システム運用」「アクセス管理」「外部委託管理」に区分されますが、冒頭で述べたように不正アクセスの被害が増加する中で、この「アクセス管理」は近年特に重要視されています。

「アクセス管理」のチェック項目

貴社の「アクセス管理」におけるリスクの特定と対応は十分になされているでしょうか。

例えば、アクセス管理における内部統制が適切になされているかについては、以下のような観点別の項目があげられます。

✓アカウントの申請・発行

社員の入社・異動・退社に伴い、適切にアカウントの発行・変更・削除を行っている

✓アカウントの棚卸し

アカウントの点検を適宜実施し、長期間利用されていないアカウント等は削除しているか
また、その記録が保管されているか

✓ログのモニタリング

アクセスログを収集し、適切な項目をモニタリングしているか

貴社のアクセス管理に対する統制はいかがでしたでしょうか。
不正アクセス等の脅威が高まる中、今一度、内部統制ないしはIT統制を見直し、適切なリスクの認識と対応策を講じることで、長期的な企業活動の継続に繋がることを願っております。