監査法人トーマツ様

日本最大級の会計事務所である監査法人トーマツは会計監査に加え各種コンサルティングなど多岐にわたる業務を提供している。RSA SecurIDの導入はセキュリティ強化の一環であり、その採用の理由や経緯を、公認会計士伊藤治郎氏に伺った。また、情報セキュリティや内部統制に関するコンサルタントの立場から、チェックポイントを公認会計士丸山満彦氏にお聞きしている。

監査法人トーマツが監査業務において財務諸表が適正と判断するためには、実に幅広い情報をクライアント企業から入手する。また、M＆A支援その他のサービスにおいても情報の秘匿性は非常に高い。監査法人のビジネスは、クライアント企業との互いの信頼の上に成り立っており、情報の漏えいは「信頼」という基本要件に直結する問題となる。

「情報を守るという点では、恐らく一般企業より多くの大小さまざまな対策を取り入れてきました。常に最新の技術の導入を検討していますが、それは、情報漏えいにより、クライアント企業にリスクをもたらさないことはもちろん、ビジネス成立の根底にある信頼関係が崩壊してしまうことを危惧してのことです」と、同社東日本ブロック監査テクノロジー公認会計士伊藤治郎氏は指摘する。

情報保護に関わるトーマツの基本ポリシーはシンプルだ。「必要となる情報は、正当なユーザーに正しい権限を持って提供可能とする」という。また、クライアント企業内で仕事をこなすこともあることから、現場でも社内と同じ環境でPCを必ず使えるという可用性を重視する。

情報アクセスの認証強化として、二要素認証によりクライアントの範となるような強固な認証ソリューションの導入に着手した。

「二要素認証製品について、まず強度を検証し、次に使いやすさを検討しました。金融商品取引法の施行により、上場企業は四半期毎に監査人がレビューした財務諸表を45日以内に公表をすることが求められており、監査法人の業務が増える中、ますますの効率化が必要になっています。指紋リーダーのように精度が不安定で、外出先で認証ができなくなる可能性のあるデバイスでは業務に支障が生じてしまう。これがワンタイム・パスワードに決めた理由です」（伊藤氏）。

数あるワンタイム・パスワードから可用性と堅牢さを念頭に、採用の決め手となったのは使いやすさだった。RSA SecurIDは時間同期方式なので、イベント方式に比較して操作がシンプルでわかりやすい。この選択を後押したのがRSA SecurIDの圧倒的な知名度だった。「ワンタイム・パスワードならRSA SecurIDというぐらいですから、トーマツもセキュリティ強化に努めているんだなという印象を、クライアント企業が感じ取っていただけます」と、伊藤氏はRSA SecurIDを認める。

「私は個人的にこの形が気に入りました。大変かっこいいと思います。毎日持ち歩くものですから携帯性とスマートなデザインがいいですね」とも、笑顔で付け足した。

2005年末、RSA SecurIDに決定し、年明けから構築に着手。200人規模のテスト期間を経て2006年10月頃から本格稼働し、現在、ほぼ全員にあたる5,000人がRSA SecurIDを使っている。「RSA SecurIDの利用開始以降、ユーザー面、システム面ともトラブルは皆無で手間のかからないシステムです。開始と同時にパートナー・スタッフに溶け込んでいったようで、とても順調に使われていると判断しています」（伊藤氏）。

技術の導入だけで情報漏えいを100％防御することは不可能という前提にたち、人為的なミスを最小限にする努力も払われている。「認証の仕組みとしては完成度の高いものが用意できました。並行して利用者のセキュリティ意識を高めることで、RSA SecurIDの意義が浸透し、この仕組みの価値も上がると思います。研修制度を整え、教育との組み併せで高いレベルのセキュリティを実現していきたいと考えています」と、伊藤氏は今後の取り組みを語った。

トーマツが提供する「エンタープライズリスクサービス」は、企業のリスクマネジメントサービスである。ここでコンサルティングやシステム監査業務に従事する公認会計士丸山満彦氏に、情報保護の勘所をお聞きした。「効率的に実施するには、まず情報の格付けをすることです。重要性の順に2ランクか3ランクに分類し、それぞれに取り扱い基準を設けるのです」と、丸山氏は提案する。

全ての情報を一律に保護強化すればいいというものではない。それではコストもかかり運用も大変で、利用者にも使いにくくなる。そこで、情報の機密レベルを重要度で格付けし、それぞれに適した取り扱い方法を定める。「また、決定した取り扱い基準を、その情報が流通する関係部署にも徹底することも重要です」と強調する。例えばA部門では最高機密としてランク付けした情報が、B部門あるはグループ企業に転送された後、誰でもアクセスできる状態になっていたら、そこから漏えいする可能性が高くなるだろう。機密性、完全性、可用性の重要性に応じた効率よい管理と使いやすさを実現することが重要である。

情報保護のキーとなるのが認証である。その認証ソリューションの条件を丸山氏は「コスト」「強度」「使いやすさ」にあるという。これらをみごとクリアして、トーマツに導入されたのがRSA SecurIDというわけであろう。

セキュリティを監査する立場として、どのようなポイントに着目するのだろうか。「私の場合ですが、退職者のIDの取り扱いに注目します。退職者のIDがアクセス権もそのままに残っている企業は、他の管理状況も十分でないように思います。いわゆる、推して知るべしとでも言いましょうか」（丸山氏）。もちろん、退職者のIDだけが重要というわけではない。プロジェクトメンバーに臨時に割り当てたIDとパスワードを無効化しないまま残していたり、別のプロジェクトに使いまわすのは好ましくないという。

「アクセス権をきめ細かく設定しているかも確認します。現実社会での情報の閲覧権とシステム上のアクセス権が異なっているずさんな管理は、IT統制上、問題があると判断されます。また、アクセス管理と認証はセットで考えなければなりません。認証がきちんとできていなければアクセス管理が有効に機能しません」と丸山氏は強調する。

また、アクセス管理は「数十人の規模なら手作業でも可能ですが、百人を超えたら大変になるでしょう。効率性を考えると、人為的なミスを防ぐためにしかるべきツールを導入するのが当然だろうと思います」とも語った。現実世界でのアクセス権を、システム上に正確に反映する。そして、アクセス権に基づいて確実に実行できるRSA SecurIDのような認証システムを構築する。これらのセットが重要なのである。