先週は NRI 担当営業の後藤さんとニューヨークに出張 (右の写真はなんとなく SOHO)。NRI さんが "IT Control" をテーマに、日本のお客様をお連れして US での Sarbanes-Oxley への対応状況の視察ツアーを主催し、その中で弊社のオフィスにも立ち寄ってもらいました。Identity Management をテーマとしたセッションを持ったのですが、サンの外人のプレゼンで特に印象に残ったのが、 "Top 10 Control Violations -- Many addressable through Identity Management" という一枚のスライド。つまり「内部統制上の違反・欠陥で一番多い 10 項目-- そのほとんどは ID 管理によって統制可能」ってな内容です。その 10 つは何かというと；

1. Unidentified or unresolved segregation of duties
   特定できない、もしくは解決できてない職務の分掌
   


2. OS access controls on financial apps or portal not secure
   財務アプリケーションやそのポータルにおける、セキュアではない OS レベルでのアクセス制御
   


3. Database access supporting financial applications not secure
   財務アプリケーションが稼動しているデータベースへのセキュアではないアクセス
   


4. Dev staff can run business transactions in production
   本番環境において開発スタッフが業務処理をできてしまうこと
   


5. Lots of users with access to “super user” transactions
   Super User アクセス権限での処理ができる人がたくさん存在すること
   


6. Previous employees or consultants have system access
   退職した社員や契約切れの外部コンサルタントがシステムへのアクセスを持っていること
   


7. Posting periods not restricted within General Ledger application
   G/L (総勘定元帳) アプリケーション内での記帳期間が制限されていない
   


8. Custom programs, tables and interfaces are not secured
   カスタムのプログラムやテーブル、インターフェイスがセキュアでない
   


9. Procedures for manual processes not exist or not followed
   手作業でのプロセス / 手順が存在していない、もしくは従事されてない
   


10. System docs does not match actual process
    システムの文書と実際のプロセスがマッチしていない
    
    Source: Ken Vander Wal, Partner, National Quality Leader, E&YISACA Sarbanes Conference, 4/6/04

Ernst & Young のパートナーが、SOX のイベントで話した資料の抜粋なのですが、太字になっているのが、アイデンティティ・マネジメントによって解決できる項目になります。まあ、「ID 管理システムを入れれば、全て解決できますよ」とは言いませんが、これを見ていただければ、ID 管理によって、内部統制の主な要求のほとんどを対処できると認識して頂けるのではないかと思います。アイデンティティ管理は全般統制を徹底する上での基盤 (ベースライン) なのです。

その他、セッションでは、この分野でのパートナーである Mycroft が実際の構築事例なんかもしゃべってくれたんですが、いろいろありましてバタバタしてたためちゃんと聴けませんでした。。。またまとめて時間があるときに書きます。

話は変わりますが、中田点入れましたね！　いやー、good job!! 　ディウフが喜び過ぎてイエローもらってたのは笑いました。