他のシステム同様、グループウェアも今後はSOX法や
内部統制を意識していく必要があることは言うまでも
ありません。
現行のグループウェアに新たに何が必要になるか？
について考えてみました。


現存する大多数のグループウェアはアクセス権限管理
の仕組みを持っており、誰がどんなアプリケーション
を利用できて、どのような操作ができるのか？を設定
できるようになっています。これを使えば現行のまま
でも内部統制に対応できるようにも思えてきますが、
実際にはそれだけでは不十分な気がしています。


必要なのは「ポリシーの設定とチェックおよび連携」
だと考えています。


現行のグループウェアでは管理者権限が与えられれば
ある意味「何でもアリ」が許されてしまいます。自分
が管理権限を持つグループの中であれば、自由に個々
のユーザーがどんな操作をできるのかを設定できます。
ワークフローを例にとれば、自分自身を承認者にした
決済フローを作成してしまうこともアクセス権限設定
によってはできてしまいます。
内部統制監査においてはこうした「管理者自身の不正
行為」を防止およびチェックすることが重要ポイント
となってきますので、何らかの対処が必要です。


そこで出てくるのが「アクセス権限の与え方のルール
を設定したポリシー」というものです。例えば、個々
のアプリケーションに『アプリ重要度』、アプリ内の
各操作に『操作重要度』、各社員に『許可レベル』と
いったセキュリティポリシー上の「メタ情報」を事前
に定義しておき、内部統制の方針を反映したポリシー
を作成します。
「許可レベルが4未満の社員に対してはアプリ重要度5
以上のアプリにおける操作重要度7以上の操作実行は
できない」
といった感じです。


現行では「管理者＝神様」の状態になってしまっているので、
神様であっても曲げることのできない「ポリシー」という
ルールをさらに上位に設けるということです。
この発想はSELinuxなどでは既に実践されていることですね。


もちろん設定をするだけでなく、実際に行われた操作が
ポリシーに合致しているか？をログなどでチェックし、
必要に応じて監査結果としてレポート出力をするという
機能も必要になってきます。ポリシーの設定そのものの
妥当性についても確認できるよう、ポリシー設定一覧を
わかりやすく出力する機能も大切になってきます。


それに加えて必要になってくるのが企業全体から見た場合の
「ID管理やポリシー管理の統一的な運用」です。
グループウェアを含む企業内の個々のシステムがバラバラに
上記のポリシーやアカウントを定義していたのでは連携が
大変になります。バッチ処理などの時間的遅延を伴う方式で
それらを連携した場合、ポリシーが変更されたタイミングで
システム間のポリシー定義に不整合が生じますので、その時
に不正行為が行われる可能性が生じてしまいます。不正行為
が可能になるような時間的遅延が発生しないレベルでの連携
が必要になってくるというわけです。


これについては異なるベンダー間のシステムで共通に使える
仕組みはまだ出てきていないようです。ポリシー記述という
意味では前述のSELinuxやXACMLなど標準になりうる可能性の
あるものはありますが、業界標準という意味では今後の課題
になりそうです。


ということで、SOX法や内部統制という観点では「ポリシー」
というものがグループウェア(他のシステムも同様ですが)に
今後求められてくるのではないかと考えています。