IT全般統制においては、アクセス管理を適切に行い、システムが安全に運用されていることを保証しなければならない。内部犯行による情報漏えい事故が後を絶たない昨今、特権IDは最高権限を持つ為、より厳密なアクセス管理(アクセス制御、監査ログ管理)を強く求められる。
しかしながら実際には、1人で何役もこなしがちな開発・運用現場へ厳格な職務分掌を適用するのは難しい。システム開発者・運用者が各サーバの特権IDを共有している場合、全サーバで開発者・運用者ごとのIDを新たに発行し直したり、全サーバにアクセス管理やログ管理ソフトを導入しなくてはならず、導入期間、工程、コストともにあまりに負荷がかかりすぎてしまう。
ここでは、開発者・運用者が本番環境へアクセスする際、統制上問題になりやすい「共有・共通の特権ID」を使いながらも、利用しているシステムを変更することなく個人を特定したログを取得することができ、現在の業務形態のままでも最短1カ月で低コスト・低負荷で、日本版SOX法に対応したアクセス管理を確立できる手法を、出光興産株式会社の具体的な事例も交えて紹介する。