監査対策に押さえておきたい「特権ID管理の3ステップ」

　IT全般統制などの監査において、多くの企業が「特権ID利用者を特定できない」「ログのモニタリングができていない」など特権IDの管理の不備を指摘されている。システムに対して大きな権限を有する特権IDの不正使用は、システム障害や情報漏えいなどを招くリスクを抱えているからだ。

　特権ID管理においては、職務規定された承認者による特権IDを利用する作業の（事前）承認、作業内容の記録・保存・管理、承認記録と作業記録から作業の妥当性を確認、の3ステップが重要となる。だが、特権IDの操作ログを取得している企業は60％未満にとどまっているのが現状だ（NRIセキュアテクノロジーズ調べ）。

　本資料では、特権ID管理の課題を洗い出し、成功事例を交えながら特権ID管理製品選択のポイントを整理して紹介する。手作業では効率化に限界があるため、低負荷・低コストでいかに効率よく対策するかは製品の選択にかかっている。事例を参考に検討してほしい。