システム監査で、ユーザIDの定期的棚卸の規定はないの?
問題の所在
調査業務で、ユーザIDの定期的棚卸が未実施であることを指摘しているが、後日、担当者からやんわり根拠規定を聞かれた。
その時は、4大監査法人では定番の統制で、監査法人のマニュアルは非公開ですが、きっと公表済の基準等で規定されているハズと回答しつつ、
帰宅後にググったところ、、、規定がヒットしなかった!
そこで改めてcopilotで調べたら、以下の回答だったが、、、、、
copilotの結果は以下:
システム監査 アクセス権限管理 ユーザIDの定期的な棚卸 規定している基準など 紹介して
↓
要点まとめ システム監査におけるアクセス権限管理では、ユーザIDの定期的な棚卸は IT全般統制(ITGC) の重要な統制項目です。基準としては、経済産業省の「システム管理基準」やJ-SOX法に基づく内部統制評価で、アカウント発行・変更・削除の適切性、最小権限の原則、定期的な棚卸と証跡の保持が求められています。
🔑 ユーザID棚卸の位置づけ
- ITGC(IT全般統制)の一部として「アクセス管理」に含まれる
- 棚卸は「発見的統制」に分類され、既存アカウントの妥当性を確認するプロセス
- 不要なアカウントや過剰権限を排除し、監査証跡を残すことが目的
📋 棚卸の実施基準・評価ポイント
監査法人やシステム管理基準で規定される主なチェック項目は以下の通り:
- アカウント発行・変更・削除の適切性
- 入社・異動・退職に伴う処理がタイムリーに行われているか
- 承認プロセスが記録されているか
- 定期的な棚卸の実施
- 長期間未使用アカウントの削除
- 棚卸結果の記録・証跡の保持
- 権限の適切性
- 職務分掌に応じた権限付与
- 最小権限の原則の適用
- 特権ID管理
- 利用状況のモニタリング
- 操作ログの取得と監査対応
- システム管理基準(経産省)
- ITガバナンスとリスク管理の一環として、ユーザ管理・アクセス権限の定期的見直しを要求
========================
結果と理由
上の回答にあった、システム管理基準、J-SOX実施基準には、明記されていない。。。。ハレーション。
補足
上の回答中に引用している以下の記事では、弊理解どおりのユーザIDの棚卸しの統制が解説されているが、、、、
ITGC:ID棚卸の実践ガイド – 整備・運用の手順と注意点 – 大月潤一公認会計士事務所
■
