今日は弊社の新会計年度キックオフのため、終日外出していましたが、こっちも興味深いですね。
Solarisで実績がある仮想化のひとつであるコンテナですが、Linuxもコンテナやるつもりなんですね。知りませんでした、がは。コンテナのメリットをよくご存知なようす。utraceもいいですね。そういえば、次期AIXも Dtrace とか、Solaris コンテナ ちっくな実装をしてくるらしいですし。
ただ、すでに Solaris 10 には実装済みなものばかり。サンのOSに対する先見的で高い開発能力には驚かされます。いつも市場でユニークすぎるため、社内のエンジニアがその価値を理解するのに時間がかかる事が問題です(笑)。
すでに、昨年から、サンの ビジネスガバナンスプロジェクトが同じメッセージを出しています。すでに実装可能なので、こういう記事を読むとちょっとニヤリとしちゃいます。
自分も結構投資してもらっているわけなので、一方的にうらやましがるのはおかしいことではありますが、なんか、JavaOneネタで周囲のブログが盛り上がっているのをみると、うらやましい。
なので、負けずに、3月にサンタクララに出張したときの一枚。
駐車場にどーんとBlackbox!?
周りをきょろきょろしながらこっそりコンテナをあけてみたら、中身は空っぽでした(爆)。
ISACA の Control Journal 最新号に「ERP Security and Segrigation of Duties Audit: A Framework for Building an Automated Solution」というのがありましたので読んでみました。Part 2では、paperの内容に即して、現在のトレンドおよび課題をまとめてみます。
ま、読まなくても想像で多分そうなんだろうなということが、記述されています(笑)。
気が利かない部分はあると思いますので、つっこみコメント歓迎です。
現在のトレンドおよび課題
監査費用全体コストの中で、ERPセキュリティが占める割合が増加傾向にある。ビジネス面での課題解決を優先させてきたため、(当然ながら)SIにおいても職務分掌について十分な配慮がなされてこなかったという経緯がある。というわけで、いまさらになって職務分掌のためのERPセキュリティは大きな問題となっている。
IT監査にかかわるトレンドはこんな感じ。(国谷:実際の数値などは文献を引いてください)
でも実態として、こんなケース(SAP R/3の場合)をどう扱うのか。。。。
中堅企業はエイヤっと数えて、100種類のトランザクションコードを利用している。そのトランザクションは通常2つ程度の権限(SAPロール)が必要になる。その企業では 200人の利用者がいたとする。その200人には20通りの業務や責任(国谷:大抵参照ユーザや、複合ロールの数に相当するかな)があったとする。この場合、検討すべきERPセキュリティの組み合わせは、
100 x 2 x 200 x 20 = 800000 通り
これは、最もシンプルに考えた場合なので、トランザクションコードの中身によってはさらに複雑になるかもしれない。
実は、監査を支援する、といわれるERPツール群も、実は全く機能不足である場合が多い。なぜなら、それらのツールの多くは、ERPセキュリティについて設定を支援するためのもので、効果的、効率的な職務分掌の監査を支援するものではない。しかも、それらのツールは、決まって、ただ駄目出しをしてくるので、余計な仕事だけが増えるという、ユーザからの不満が続出している。
これまでのアプローチとしては手でやってきたわけだが。。。。
今日、ほとんどのERPユーザでは手作業によるセキュリティ監査を実施している。 ERPに付属するセキュリティ報告ツールは、セキュリティの設定に関する精度のみが論点になりがち。
決まった期間内に統制の対象となっているトランザクションコードを調査するためには、ツールのスケーラビリティ性能に由来する制限を理解する必要がある。
と、以上です。
あるトランザクションコードを調査するとき、それを実行できるあるユーザが持つ権限のリストがチェックされて、そのトランザクションコードにとって不適切な兼任となりうる権限が含まれていないかを確認する。
こういうチェックの方法だと、確かに上に挙げたような組み合わせの数だけ調査が必要で、しかもひとつのバッチジョブでこなそうとすると、トランザクション毎、ユーザ毎にループがまわるので、恐ろしいくらい時間がかかる。これでは、大企業にはまったく適用できないかもしれない。しかも、この調査ではおそらく、トランザクション、ユーザ単位の権限の問題点が、ズラーっと画面に表示されるだけで、監査が期待する報告を出力とは異なるという事らしいので、「ふーん、アメリカでもそういう状態なんだ」となんとなく安心というか、見切ったというか。
ただ、20通りの参照、複合ロールっていう規模は、日本でもよくあるサイズかな。 1パターンのチェックで10秒かかるとしても、800000通りということは、93日かかりますな。 半分の時間だとしても、50日弱、1秒ならば1週間。うーーん、会計監査って何日で済ませないといけないんだっけ(爆)
ISACA の Control Journal 最新号に「ERP Security and Segrigation of Duties Audit: A Framework for Building an Automated Solution」というのがありましたので読んでみました。(下道さんありがとうございます。)
こんな記事やあんな記事を書いた手前、この手の話題には努めて興味を持つようにしています。
実際読んでみた第一の感想は「世の中、実態はそんなもんか」に尽きます。アメリカは SOX 対応がすでに3週目に突入しています。それでも未だにERPのセキュリティについては、まぁ、手をこまねいているという事です。
論文で提案されている結論は、まず、ERPの仕組みをよく理解することが大前提となっています。さらに、監査要件を満たす情報を取り出す仕組みは ERP に組み込むのではなく、外部システムとして用意することを推奨しています。
また、一番気になったのは、ERPで職務分掌を確立するためには、それを実現する技術的背景と実装としてのテーブルなどを特定すること、という点です。
うーん、そこまでシステムの裏側を理解できているなら、なにも手組みで「SOD検証システム(造語)」なんか作らなくても、IdM上で実装しちゃえばいいのに。と思ったりもします。
ちょっと長くなりそうなので、このpaperで議論されていることはまた、次回まとめてみます。
今回の出張で、Deloitte や ITガバナンスのチームと会話したことをメモっていたので、
それをブログに転載してみることにします。
ようわからんところもあるかもしれませんが、ご容赦。
結論:
現場の意識
サイロ、分散型のマネージメントを変えて、かつガバナンスのゴールも高めに設定する。じゃないと、内部統制の報告で不備ややり直しがあまりにも多い
非SEC企業がSOXを適用し始めている(これは驚き)
SOX対応 1年目のアメリカの空気
ITアプリケーションが標準化、統合されていない
テクノロジーの利用は最小限にとどめておくのが効率的で効果的であると思っていたが結果として、ITとビジネスの協調性を失うことになった (全体のプロセスの15%しかシステム化されていない)
SOX対応 2年目のアメリカの空気
SOX対応 現在:
統制の合理化が今まさに起こっている
コンプライアントという結果は既存にうわのせる形では実現しない、コンプライアンスが組み込まれる必要がある
ほとんどがITにインパクトはないと思っていたという考えを撤回し、効率的効果的に支えるためにはテクノロジーが重要だという認識になった
しかも、責任者は激務のようだ。
とまぁ、上っ面を並べると、当たり前のようなことばかりですが、 普段「事例、事例」と騒がしい日本が、先行事例から素直に学べるのかどうか (いろんな意味で)お手並み拝見っていう気がしています。
さらにITサイドがもう少し意識すべきことを学べる paper を 2本紹介します。 一つは deloitte.com から、「IQ matters」 というもの。 もう一つは、ISACA の Control Journal から「ERP Security and Segrigation of Duties Audit: A Framework for Building an Automated Solution」です。
前者はちょっとキツイので時間がかかっていますが、後者はあっさりと簡単に読めました。 実は後者は結論もあっけないので、それをベースに次回はUSにおけるERPセキュリティの実態について書きたいと思います。