日本版SOX法だの内部統制だのが新聞雑誌の紙面を飾る機会が増えてきた。
ある大手DBベンダーの人の書いた「ID管理が重要」という記事を読んだが、ふむふむなるほど、と思った。と同時に、これはシステム部を持たない会社や中小零細企業には適用が難しいのでは?とも思った。
ID管理を全社で統合できる、というのは理想的な話だ。しかし、これは情報システム部が存在し、しっかり機能しているところでないとなかなか難しいのではないだろうか?このところ仕事で利用しているSQL ServerもWindowsのユーザー管理で制御できるようなモードがある(というよりそのモードは外せない)。Windows向けのみだからできる芸当であるが、これもユーザー管理が迅速かつ正確に行われないと難しいだろう。
さて、現在計画中のシステムであるが、利用者が限られるうえ、人事異動も多いらしい。これのユーザー管理を顧客内のシステム部に依頼しようとしたら断られたそうだ。そうなるとユーザーの中に管理者を置くことになる。しかしコンピュータに関しては素人といってよい。
本業は別のことなので仕方ない部分である。また、外部ベンダーが請けても、それこそ内部統制の根幹に関わる部分を外注するというのはどうなのだろうか、という話になりはしないだろうか。
この場合は、ユーザーの成熟度を考慮し、DBMSのIDではなく業務で使うユーザー管理マスターなどを作って管理させる方が望ましいのではないか、と考えている。つまり、DBMSのIDはユーザーから隠蔽し、共通のものを使わせるのだ。
内部統制に向けてのポリシー決めを提案しようとも考えたが、費用と期間、ステークホルダーへの根回しなどを考えると私が居なくなる3月末までに方向性が決まらないのは目に見えているので自己却下した。
ここで気になるのが、利用者のログなどである。DBMSでは監査するときの対象をDBMSのユーザーIDに対して行うのが常ではないだろうか。そうすると、同じユーザーIDの奴ばかり・・で監査証跡としての価値は低いだろう。そこで自前でユーザー管理マスターのユーザーを使ったものを準備しないといけなさそうである。とりあえずは誰がどのPCから何をしたか、その処理時間は、くらいを記録しておけばチューニングの元ネタにもなるだろう。
中小零細でのコンピュータ導入およびID管理が簡単になれば、内部統制も行いやすくなるのではないかなと思うが、セキュリティと利便性の相反するところである。いい着地点がないものかと、いろいろ知恵は絞っているがなかなかいいものが出ないでいる。
運用面のツール類にはあまり明るくないので「そんなことはない」という意見がありましたらお願いします。