経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(3)

IT・IT製品TOP > Key Conductors > 楠木 秀明(CA Technologies ) > 経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(3)
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(3)

エンドポイントセキュリティ 2013/06/18

第3回 経営層への説得シナリオ(2/3) 〜 リスク分析 〜

 前回は、3つの経営層への説得シナリオの1つとして「IT中長期計画との整合性」についてお話した。
 今回は、SOX法・内部統制対応の際に、多くの企業でIAMのニーズが発生した「リスク対応」について説明したい。

 内部関係者が、システム上で不正・ミスを起こす場合というのは、過去の歴史を振り返ると、1人の担当者に権限が集中している場合が圧倒的に多い。システム監査が必要となった背景とされる“サラミ手法”の例をとっても、新たにIDを作成し、架空口座に1円未満の端数を入金するように財務関連のプログラムを修正、その後、本番プログラムを置換し、その痕跡が残らぬようにIDを削除、履歴を改ざんするといった不正が典型的である。こういった不正およびミスを防ぐために、IAMソリューションが導入されるというわけだ。

 弊社が過去にお客様とお話した限り、不正を助長させる原因は、以下に示す“不適切ID群”という6つのタイプのIDが大きな原因と推察する。言い換えると“不適切ID群”が存在しなければ、大半の不正・ミスを予防できるということになる。

下記の一覧に、6つの不適切ID群とはどのようなIDなのか、またどのような問題を抱えているか、どのように解決していくべきかを記載する。 

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 不適切ID群の存在は、経営層だけではなく企業に属する全員が望まない事象、例えば顧客離れ、売上・利益の減少、株価の下落といった最悪のケースに至ることも考えられる。

 実際に経営層に説明する際には、過去に発生した事件を取り上げ、どの不適切IDが原因で発生したかを解説すると説得力が増す傾向にある。ただし過去に発生した事件は、外部には原因の全容が公表されない場合もあるので、ある程度はシミュレーションが必要になってくることもあることを記憶に留めておいて頂きたい。

 多くのお客様では、経営層に説明する際に、参考資料として幾つかの事例を用意し、何か質問された場合に、用意した内容を説明する方針が取られることが多いように思う。  
結果、SOX法や内部統制の対応もあるため、経営層の反応は、総論としてはOKとなる確率が高い。何社かのお客様から、「経営層にしっかり現状の問題点(脆弱性)を説明し、最悪のシナリオではどのような影響・被害(リスク)が生じ得るかを認識してもらえれば、経営層の方も“NO”とは言えないはず」といった趣旨の意見を頂いている。  

 では、すんなりIAMの導入が必要と認められるかというと、そうは行かない。“ほぼお決まりのコース”と言っていいくらいに話題が変換される。“どの程度の費用がかかるのか?”または“どの程度の費用対効果があるのか?”といったコストに関わる話が、最大の難関として待ち構えている。ある意味、一番難しいトピックではあるが、おそらく一番重要なトピックなのであろう。    

よって次回は、経営層に対しIAMを導入することによる効果、特に費用対効果の可視化についてご紹介していく。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006255


IT・IT製品TOP > Key Conductors > 楠木 秀明(CA Technologies ) > 経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(3)

このページの先頭へ

キーマンズネットとは
ソリューション技術本部 プロダクトソリューション部。1997年よりセキュリティ製品を担当。ウィルス、IDS等の外部脅威および、特権ID管理、SSO、IDM等のアイデンティティ/アクセス管理領域に従事。多数の企業で監査対応のプランニングを支援。CISSP、CISA。

ページトップへ