IT統制／特権IDアクティビティ管理

  2008年度のIT統制評価で、いくつかの不備あるいは改善が望ましいとの指摘を受け、現在対応中の方もいらっしゃるのではないかと思います。このような中、2009年度の評価の重要事項の一つとなるのが「DB（データベース）監査」ではないでしょうか。
  DB監査では、① ID管理、②権限管理、③プログラム変更管理、④データの直接修正管理の四つを確実に実施していることが求められます。

   わが社では、CPAのチェック・了承を得た、以下の要求事項を満たす内容での「特権IDアクティビティ管理システム」を構築し、４月から運用を開始しています。
このシステム化により、手作業でのログ解析作業から解放され、日常業務の生産性が維持できるようになりました。

  企業の業務プロセスには、ほとんど何らかのアプリケーション・システムが組み込まれており、そのIT基盤として必ずDBが存在します。そのDBには会計報告に利用するデータや業務上重要な情報が収められています。DB監視を行うことはDBに保管される情報の正当性と安全性を担保し、内部統制が有効に保たれていていることの証明となります。

  DB監視では，運用されているアプリケーション・システムからの接続は正当なアクセスとして認めます。この接続を除いたシステム運用者やDB管理者が作業のために行う本番環境への接続を特に監視します。
  つまり、特権IDのアクティビティ管理です。
  特権IDを有するスーパーユーザーは、コンピュータに対してどんなことでも行うことができます。
  それ故、特権IDによる接続が、事前に申請・承認されているものかを確認することで、正当なアクセスか不正なアクセスかを判断します。
  そのため事前に①アクセス申請を行い、②責任者の許可を得てから行うという運用を徹底します。
  申請時の項目を例示すると、
    ・アクセス日時（from～to）
    ・アクセス時DBアカウント
    ・アクセス時OSアカウント
    ・アクセス時端末のIPアドレス
    ・作業内容
  また、必然として、当該アクセスがユーザー部門の依頼に基づくものであることの証跡との結びつけも必要となります。

  DB監査ログに出力された内容と事前申請及びユーザー部門の依頼証跡との突き合わせを行い、申請時の項目と相違なければ、正当なアクセスとして認めることができます。
  障害が発生した場合に緊急でデータベースにアクセスしなければならないこともあります。その場合は事後であっても、対応直後に必ず申請・承認を行い、記録するようにします。