「DB管理者からキングダムを奪え」、SOX法で浮上するSoD問題

2006/7/15

 米オラクルのシニア プロダクト マーケティング ディレクタ レーン・レスケラ(Lane Leskela)氏は、米国SOX法への企業に対応について「米国では2005年末から職務分掌(Segregation of Duties:SoD)の問題が急浮上している」と説明する。SoDは企業の既存の業務処理とITシステム」の両方に深くかかわる。日本企業が直面するいわゆる日本版SOX法(金融商品取引法の一部)でもポイントの1つになると見られる。

米オラクルのシニア プロダクト マーケティング ディレクタ レーン・レスケラ氏

 レスケラ氏は日本オラクルが企画した「米国SOX法現地視察ツアー」で講演した。SoDとは業務における従業員の役割を正しく切り分けること。購買アプリケーションにアクセスする権限と、支払いアプリケーションにアクセスする権限の両方を1人の従業員が持つことは、SoDから見ると適切ではない。不正な購買を起案し、自らが承認、支払い処理をする危険があるからだ。

 SoDが難しいのは「ビジネス全体の問題とITシステムの両方にかかわり、個人までも管理しないといけない」(レスケラ氏)からだ。どの役割を従業員に割り当てるかはビジネスの問題だが、その役割を業務アプリケーションに反映し、継続的に運用するのはITシステムの問題。「テクノロジそのものが監査の対象になる」(同氏)という課題もある。

 米オラクル コンプライアンス・アプリケーションズ担当 プリンシパル プロダクト ストラテジー マネジャー ジュリア・クー(Julia Koo)氏はSoDについて「どのシステムにもアクセスできるスーパーユーザー権限を持つデータベース管理者(DBA)などが、特に問題なる」と警告する。システムのメンテナンスを担当するDBAは複数のシステムにログオンし、設定を変更する権限を持つのが普通。自らでスーパーユーザー権限を作成し、自らに割り当て、利用することもあるだろう。しかし、その権限を使って不正を行わないとは言い切れない。米国SOX法の監査ではこの点が問題になったとクー氏は指摘する。

 実際にDBAが不正をしていなくても、SOX法では企業はDBAが不正を起こし得る環境をリスクととらえ、そのリスクを軽減するコントロール(統制)を監査人に示す必要がある。米オラクル セキュリティ アンド アイデンティティ担当 シニア ディレクタのウィン・ホワイト(Wynn White)氏も「DBAはいろいろな権限を持つ信頼される個人だが、監査人は非常に懸念を持っている」と監査人の見方を紹介した。

米オラクル コンプライアンス・アプリケーションズ担当 プリンシパル プロダクト ストラテジー マネジャー ジュリア・クー氏

 正しいSoDを確立するには企業がビジネスルール、ポリシーを確立し、ITシステムによる実施が必要になるというのがオラクルの考え。ERPパッケージの「Oracle E-Business Suite」の内部統制モジュール「Oracle Internal Controls Manager」には、SoDを業務アプリケーションに徹底させる機能がある。SoDの違反が発生した場合にはそのアクセスをブロックし、不正利用を防ぐ。DBAなどスーパーユーザー権限を持つユーザーのみを切り出して、レポートを出力する機能もあり、監査対応を容易にする。

 ただ、企業のデータベース環境の変化がSoDの確立を難しくしている面もある。サーバ統合を進める企業が多く、複数の業務アプリケーションを物理的、もしくは仮想的な単一のデータベースで運用するケースが増えている。その結果、DBAが複数の業務アプリケーションにアクセスできるという「監査上のマイナス要因になっている」(ホワイト氏)。

 オラクルはデータベースに関するSoDを確保するため、DBAのアクセス権限を厳密に運用する「Oracle Database Vault」を4月に発表した。国内では今秋にも出荷予定。Database Vaultは1人のDBAがアクセスできるリソースの範囲を設定。そのうえで「平日9時から17時」「特定のIPアドレスからのみ」などのルールを組み合わせることができる。「DBAからキングダムへのキーを取り上げる」(ホワイト氏)ソフトウェアだ。

 オラクルは、オラクル環境、非オラクル環境から監査対象になるデータのみを抽出して特別なデータベースに隔離、保護する「Oracle Audit Vault」も2006年末までにワールドワイドで出荷する予定。コンプライアンス対応機能をITインフラに盛り込む動きを加速させている。

(@IT 垣内郁栄)

[関連リンク]
日本オラクル

[関連記事]
SOX法対応ID管理は難しい?――専門コンサルが語る (@ITNews)
月1500人が入社するリーマン・ブラザーズ、そのID管理とは (@ITNews)
SOX法対応のスタートポイントはID管理」、米オラクルVP (@ITNews)
内部統制強化にらむ、オラクルとネットマークスがID管理で協業 (@ITNews)
内部統制構築でオラクルがEMCと協業、ID管理の専任部隊も (@ITNews)
SOX法はアーキテクチャで攻めろ、オラクルが製品体系化 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)