ブログ記事

IT全般統制(ITGC)とは?

Security
7分で読めます

情報技術(IT)は、あらゆる組織の基盤となるものです。ITには、ユーザーが直接操作するシステムやソリューション、障害やインシデントの発生時にのみ現れるネットワークやウェブサーバーなどが含まれます。IT全般統制は、サイバー セキュリティに対する脅威から防御するために、ITリソースの利用と管理の方法を制御するための一連の指令と企業セキュリティのガイドラインを提供します。

企業は、IT全般統制を実施することにより、ユーザーが依存するITリソースと、組織の運営に必要不可欠なITインフラストラクチャの安全性と最適化を保証します。

企業は、IT全般統制の一部の要素や断片的な要素を実行していますが、事業継続性とコンプライアンスを確保するには、総合的に考慮する必要があります。以下は、チームにとって強力なIT全般統制戦略を策定する上で役立つ、IT全般統制の概説です。

IT全般統制(ITGC)とは?

IT全般統制の定義

IT全般統制とは、組織のテクノロジーの取得、設計、導入、利用、維持の方法を規定する内部方針です。IT全般統制の主要な機能としては、以下が挙げられます。

  • 物理的施設へのアクセス制御
  • ソフトウェア実装
  • ユーザー アカウント作成
  • データ管理
  • コンピューティング インフラ
  • アプリケーション
  • データ セキュリティ

IT全般統制は、ライフサイクル管理や変更管理、バックアップと復旧、運用制御など、システム開発におけるセキュリティおよびコンプライアンスもカバーします。

IT全般統制は、最適な業務効率とサイバー セキュリティを確保するためのガイドラインとなります。他の組織はそれに従うことが求められます。金融サービスや医療業界などに属する組織は、適用される規制(医療保険の相互運用性と説明責任に関する法律(HIPAA)、支払カード産業データ セキュリティ規格(PCI DSS)、サーベンス・オクスリー法(SOX)など)を遵守するために、IT全般統制を確立し、維持する必要があります。

なぜIT全般統制(ITGC)は重要なのか

IT全般統制の具体的な目的は下記に列挙してみましょう。

  • 脆弱性に対する積極的な取り組み
  • データの機密性、完全性、可用性の確保
  • ITシステム組織の運営方法の統制
  • 組織がコンプライアンス要件を満たせるように支援
  • 財務報告の信頼性と正確性の向上
  • システムが常に正しくテストされ実装されていることの維持
  • 不正行為のリスクの最小化
  • 未認証のアクセス、データ侵害、業務中断の軽減
  • 企業の名声の保護
  • セキュリティ システムとネットワークが定期的に更新されていることの保証
  • 内部または外部からの侵害やコンプライアンス違反の可能性の低減
  • 顧客情報の保護

IT全般統制(ITGC)の例と構成要素

プログラムとデータのアクセス制御

アクセス制御は、誰がどのデータやシステムを表示や活用できるかを定義します。未認証のアクセスを防止することで、データ侵害や不正データ操作のリスクを低減します。実効アクセス制御には、以下のようなものがあります。

変更管理制御

変更管理制御は、ITシステムやサービスに対して段階的に変更を行い、変更による混乱を最小限に抑えるためのガイドラインを提供します。変更管理制御で考慮する変更は、直接または間接的にサービスに影響を及ぼす可能性のあるITインフラまたはコードに関連するあらゆるものの追加、修正、削除です。変更管理制御には変更の計画と文書化も含まれ、状況と透明性を提供します。

コンピューター オペレーション制御

コンピューター オペレーション制御は、コンピューターがデータの保存、処理、アクセス、およびプログラムの効率的な実行に関する要件が満たされるように、最適にプログラムされていることを保証するものです。

データ バックアップと復旧管理

データ バックアップと復旧管理は、組織が業務の中断を最小限に抑えるのに役立ちます。データ、ビジネス プロセス、データベース、システム、アプリケーションなどのリソースがバックアップされ、通常業務に再開できるように迅速に復元できることを保証します。IT全般統制のこの要素には、準備態勢を確保し、システム導入後に生じる可能性のある問題に対処するために行う定期的なテストに関する指針も含まれています。

データ保護管理

データ保護管理には、データの盗難、破損、偶発的なアクセスや変更など、あらゆる種類のデータ損失から保護を行うプロセスとテクノロジーが含まれます。エンドポイント、ネットワーク、クラウド環境を保護するには、システムにさまざまな攻撃アプローチを適用してテストを行い、防御が期待通りに機能することを確認します。

インシデント管理の制御

組織は、潜在的なインシデントを想定した計画を立て、その計画をテストし、インシデントが発生した場合に効果的かつ迅速に対応できるようにする必要があります。インシデントが発生した場合に備えて、復旧手順に加えて、根本原因の特定と再発防止に使用するために、インシデントの詳細を記録する計画も必要です。また、潜在的なインシデントの兆候を検出し、事前の対応を可能にするツールも用意しておく必要があります。

ITオペレーション制御

IT全般統制には、ITオペレーション制御に関する具体的な指示が含まれています。これには、電子メールのフィルタリング、ファイアウォール、アンチウイルス ソフトウェアといった幅広いセキュリティ ソリューションの最適な導入と管理も含まれます。ITオペレーション制御にはまた、侵入テストのスケジュールや、私的デバイスの持ち込み(BYOD)に関するポリシーも含まれます。

データ センターの物理的および環境的なセキュリティ対策

サイバー セキュリティの脅威の多くはデジタルによるものと思われがちですが、データ センター内の物理的なデバイスもまたリスクをもたらします。IT全般統制には、データ センターを未認証のアクセスや環境を損なう事象から保護するための具体的な要件が含まれています。

データ センターへの物理アクセスは、通常は生体認証アクセス技術、キーパッド アクセス、または近接型カードで制御されており、多くの場合、多要素認証 (https://spintspstaging.wpenginepowered.com/ja/identity-library/what-is-multi-factor-authentication/)だけでなく、施設内のセキュリティやビデオ監視も必要です。

データ センター環境の監視には一般的にセンサーが使用され、温度が範囲外になった場合や湿気が検出された場合はアラームが作動します。

システム ライフサイクル管理

IT全般統制の重要な要素として、システム ライフサイクル管理があります。これらの管理には、パッチの管理やアプリケーション、システム、ネットワークのアップデートが含まれます。また、関連する手続きやシステムの監視も対象となります。

IT全般統制(ITGC)の実装

IT全般統制を実装する際は、以下のような手順に従うことで円滑で正確な実装を実現し、スケジュールに影響したり、チームにストレスを与えるような予期せぬ事態を最小限に抑えることができます。

  1. IT全般統制の範囲の定義
  2. IT全般統制の設計
  3. コンプライアンスをテストするための一貫したプロセスの確立
  4. ベースラインの作成
  5. IT全般統制の実装
  6. IT全般統制のテスト
  7. リスクの評価とリスク スコアの割り当て
  8. 欠陥の修正の優先順位付け
  9. テスト計画の見直しと要件の変化に合わせた更新

IT全般統制(ITGC)コンプライアンスのフレームワーク

コンプライアンスのフレームワークは、組織が適用可能なIT全般統制を整理し分類するのに役立ちます。これにより、適切な統制が確実に実施されるだけでなく、監査に備えることができます。

IT全般統制を補完し監査を促進する、一般的に使用されるフレームワークには、COBIT、COSO、ISO、NIST SP 800-34、ITILなどがあります。

COSO

トレッドウェイ委員会支援組織委員会(COSO)の内部統制フレームワークは、最も広く使用されている内部統制フレームワークです。COSOは、内部リスク管理制御の設計と実施に関する具体的な指針を提供しています。

COSOの統制フレームワークは、5つの構成要素と17の原則、87の着眼点から構成されています。COSOの5つの構成要素は以下の通りです。

  1. 統制環境
  2. 既存の統制活動
  3. 情報と伝達
  4. モニタリング
  5. リスク評価と管理

COBIT

COBITは、IT監査コミュニティ内では最も一般的なIT統制フレームワーク例です。ISACA(情報システムコントロール協会)がCOBIT(情報および関連技術の統制目標)フレームワークを所有し、これをITガバナンスと管理のために設計しました。

一部の専門家は、COBITをガイドライン集約フレームワークと呼んでいます。内部統制統合フレームワークとして、他の一般的なITフレームワークを相互参照し、ビジネス リスクのIT面に対応するITセキュリティ フレームワークとなっています。

ITガバナンス協会は、推奨されるIT全般統制の目標とアプローチを概説するために、情報技術の統制目標(COBIT)フレームワークを策定しました。COBITの基本的な前提は、ITプロセスは、業務の合理化と企業データ保護のために、特定のビジネス要件を満たす必要があるというものです。

COBITの5つの主要原則は以下の通りです。

  1. 組織をエンド ツー エンドでカバーする。
  2. ガバナンスとマネジメントを区別する。
  3. 利害関係者のニーズに応える。
  4. ガバナンスには全体論的なアプローチをとる。
  5. 単一の統合フレームワークを使用する。

ISO 27001

国際標準化機構 27001(ISO 27001)は、情報セキュリティ管理システムの導入、改善、維持、監視、見直しに関連する法的、物理的、技術的リスクを軽減するためのポリシーと手順を提供しています。これは、トップダウン アプローチによる以下の6つのステップで構成されています。

  1. セキュリティポリシーの定義。
  2. 情報セキュリティ管理システムの範囲。
  3. リスク評価の実施。
  4. 特定されたリスクの管理。
  5. 実装する制御の選択。
  6. 適用宣言書の作成。

NIST SP 800-34

NIST SP 800-34連邦情報システム用の災害対策ガイドは、情報システム緊急時対応計画(ISCP)の作成に7段階のプロセスを提示しています。

  1. 組織の権限を割り当て、効果的な緊急時対応計画の実施に向けた指針を提供する、緊急時対応計画の方針声明の作成。
  2. 事業影響度分析(BIA)を実施し、重要な情報システムおよび構成要素の特定と優先順位付け。
  3. インシデントの予防策と軽減策の特定および定義による、システムの可用性の最適化と中断の最小化。
  4. 障害発生後のシステムおよびプロセスの迅速な復旧を確実にするための詳細な緊急時対応戦略。
  5. 損傷したシステムの修復方法や、機能プロセスの復元のための代替ソリューションの導入方法の詳細などの情報システムの復旧計画の作成。
  6. インシデントに備えギャップを特定するために、計画のテストおよびシミュレーション演習付きトレーニングの提供。
  7. 新しいシステムや変更を確実に反映するための、計画の最新状態の維持。

ITIL

情報技術インフラ ライブラリ(ITIL)は、ITサービス ライフサイクルの以下の5つの段階を管理するための指針とベスト プラクティスを提供するフレームワークです。

  1. サービスストラテジー
  2. サービスデザイン
  3. サービストランジション
  4. サービスオペレーション
  5. 継続的な監視と改善

IT全般統制(ITGC)フレームワークを用いた監査の実施

IT全般統制の統制監査を補完する枠組みを用いた監査を実施するための主要な6つのステップは、以下の通りです。

ステップ1:フレームワークの選択
フレームワーク オプションを評価し、企業の目的とコンプライアンス要件に最も合っているものを選択します。既存のフレームワークがうまく作用していない場合、組織によっては、IT全般統制の内部監査を導くために、複数のフレームワークから特定の要素を選択します。

ステップ2:内部統制のフレームワーク制御へのマッピング
監査を開始する前に、組織の内部統制をフレームワークで定められた期待される統制にマッピングする必要があります。

ステップ3:ギャップ分析の実施
内部統制とフレームワークの統制を比較し、不足や欠陥のあるものを見つけます。

ステップ4:ギャップや欠陥に対処する方法を含む計画の作成と実行
フレームワークに期待される水準に達していない領域を改善するため、是正計画を策定し実行する必要があります。これはテスト段階と並行して行うことができます。

ステップ5:統制効果のテスト
統制が実施された後、それが適切に統合され、期待通りに機能していることを確認するためのテストが必要です。

ステップ6:軽減活動の監視
統制が実施された後は、常に監視を続け、現在の要件を満たし、IT全般統制に影響する可能性のある変更や追加事項が考慮されていることを確認します。

IT全般統制(ITGC)とセキュリティ

IT全般統制がセキュリティ対策をサポートする主な分野としては、以下が挙げられます。

内部脅威

IT全般統制には、データ アクセスや移動に対する制限による、悪意的または偶発的な侵害の防止が含まれます。従業員、パートナー、ベンダー、インターン、契約社員を監視することで、一般的に悪用される弱点の把握と管理が可能になります。

外部脅威

IT全般統制は、外部脅威に対する保護策を確実に実施します。これには、システムやアプリケーションの既知の脆弱性を排除すること、アクセスを必要最小限に制限すること(最小権限など)、ラテラル ムーブメントを防止すること、強力なパスワードを徹底的に管理すること、全従業員にセキュリティ認識のトレーニングを義務付けることなどが含まれます。

リスク軽減

IT全般統制によってリスクが軽減される分野として、財務、業務、名声/評判などがあります。IT全般統制からのプロセスと保護策は、組織が適切なシステムとソリューションを導入して維持し、攻撃対象領域(アタックサーフェス)を最小限に抑え、事業継続性を確保することで、これらの主要分野におけるリスクを軽減させることが実証されています。

IT全般統制(ITGC)のメリット

IT全般統制は、組織のセキュリティ対策を強化し、オペレーション全体を最適化するための実証された方法です。IT全般統制によって得られるメリットには、以下などがあります。

セキュリティの強化

IT全般統制の主要な目的のひとつはセキュリティです。IT全般統制が提示するガイドラインとフレームワークに従うことで、適切なソリューションによりサイバー攻撃やその他のデジタル災害から保護されます。IT全般統制が適用するシステムには、ゼロ トラスト セキュリティの原則に基づいたアイデンティティ アクセス管理(IAM)、継続的監視、静止時および移動時のデータの暗号化、アンチウイルス ソリューションなどがあります。

事業継続性の確保

IT全般統制は、ITサービスを中断させる原因となる脆弱性に対する保護の実現だけでなく、迅速に復旧させることも保証します。IT全般統制は、問題を防ぐためのセキュリティ プログラムを導いて、バックアップおよび復旧システムの計画とテストを支援します。

リスク管理の改善

IT全般統制は、外部および内部のソースからのサイバー脅威に関連するリスクの数を減らし、その深刻度も軽減します。プロセスとシステムを整備することにより、エンドポイント(ラップトップ、モバイル端末、モノのインターネット(IoT)デバイスなど)のセキュリティ強化、アプリケーションの定期的なパッチとアップデートの適用、アクセスの厳重な管理、およびサイバー攻撃の兆候を特定し、ソーシャル エンジニアリング戦術を回避するためのセキュリティ意識向上トレーニングを従業員へ実施することを保証します。

法規制遵守の向上

IT全般統制を、COBIT、COSO、ISO 27001などのより大規模なITフレームワークと併せることで、ほとんどのコンプライアンス監査の要件を満たす適切なシステムを確実に組織内に整備することができます。

IT全般統制(ITGC)のベスト プラクティス

進化する脅威に対処するために、セキュリティ対策を強化するさらなる方法を求めるチームにとって、IT全般統制は役立ちます。以下のベストプラクティスを検討してください。

セキュリティ フレームワークの実装と遵守

COBIT、COSO、ISO 27001などのセキュリティフレームワークは、実証済みの実装や管理手法によって、組織がセキュリティ プログラムやセキュリティ対策を整合させるのに役立ちます。さらにこれらのフレームワークは、要件を満たす適切なIT全般統制の実施を保証することで、コンプライアンス監査に備えます。

すべてのパッチとアップデートのインストール

脆弱性から保護するため、アプリケーション、システム、ネットワークのアップデートはすべて定期的にインストールする必要があります。サイバー攻撃者はこれらの脆弱性を認識しており、これらを攻撃を仕掛ける侵入ポイントとして利用します。IT全般統制には、アプリケーション、システム、ネットワークのパッチやアップデートについて、定期的な更新と継続的な監視を義務付ける規定が含まれています。

IT全般統制(ITGC)の調達プロセスへの統合

新しいシステム、ソフトウェア、サービスを導入する際は、ベンダーがセキュリティにどのように取り組んでいるかについての質問を含め、IT全般統制をどの程度利用しているかを評価します。

チーム メンバーへのセキュリティ意識向上トレーニングの提供

従業員はサイバー攻撃者の格好の攻撃ベクトルです。たった1人の従業員のミスで、攻撃者はITシステムにアクセスすることができます。

不注意または知識不足な従業員が、フィッシングからその他のソーシャル エンジニアリング キャンペーンに至るまで、サイバー攻撃者のさまざまな戦術に引っかかってしまうのは日常的な出来事です。

サイバー攻撃者が使用するアプローチに気付くよう従業員をトレーニングすることは、攻撃者にアクセス権限を与えてしまうようなミスの防止に役立ちます。

さらに、従業員はIT全般統制に関する研修とテストを受けることで、その目的と遵守方法に対する理解を深める必要があります。オンラインのウェビナーであれ、対面の研修であれ、サイバー攻撃を阻止し、IT全般統制を最大限に活用するためにセキュリティの意識向上は極めて重要です。

IT全般統制(ITGC)の戦略的な活用

IT全般統制の最終目標について、もう一度俯瞰してみましょう。その上で、これらの目標を達成するための戦略を実行するプロセスを構築します。こうすることで、組織がIT全般統制を継続的に最適な形で使用できるようになります。

まとめ

IT全般統制は、デジタル資産やサポートしているシステムをサイバー セキュリティの脅威から保護し、リスク軽減の取り組みを促進するために必要な構造と戦略を提供します。IT全般統制を理解することに時間を割くことで、IT全般統制の実施と維持が容易になります。IT全般統制を優先する組織では、リスクが軽減され、サイバー セキュリティ全体が向上します。

関連コンテンツ

IT全般統制(ITGC)についてもっと詳しく知る

NIST CSF(サイバーセキュリティフレームワーク)とは

NIST CSF(サイバーセキュリティフレームワーク)とは

NIST CSFとは、企業がセキュリティ製品を導入検討する際の判断基準です。なぜNIST CSFを導入すべきかを解説します。

記事を読む
アイデンティティ・ガバナンス/管理(IGA)とは

アイデンティティ・ガバナンス/管理(IGA)とは

アイデンティティガバナンスにより、企業はデジタル資産への自動アクセスを可能にし、潜在的なセキュリティおよびコンプライアンスリスクを管理します。

記事を読む
アイデンティティ・セキュリティとは何か?

アイデンティティ・セキュリティとは何か?

IDセキュリティ(別名IDガバナンス)は、多様な従業員へのテクノロジーアクセスの提供に関連するサイバー脅威から保護します。

記事を読む

お問い合わせ

SailPoint Identity Security Cloudの
詳細をご希望ですか?

DX時代の先進的な企業が、アプリケーションやデータの安全な利用を、スピードと拡張性を持って管理・保護するという課題に、SailPointのソリューションがどのように対応できるのかご紹介します。

お問い合わせ