職務分掌(SoD)
職務分掌(SoD) とは何ですか?
職務分掌(SoD)重要な業務を複数の人や系統に分割し、一人(一系統)だけでは完結できないようにする統制の原則。
職務分掌は、重要業務に必ず 2 人以上の独立した担当者を関与させることで、不正・誤り・悪用を防ぎます。典型例は、コードを書く開発者とリリース担当、支払いの申請者と承認者、特権アクセス申請者と JIT 昇格を承認するセキュリティ担当などです。SOX、PCI DSS、ISO/IEC 27001、NIST SP 800-53(AC-5)で要求されます。実装には RBAC/ABAC、承認ワークフロー、コードレビュー、多者承認、暗号操作の二者制御を用います。小規模チームで完全な SoD が難しい場合、監査ログ、監視、定期レビューなどの補完統制で代替します。
● 例
- 01
本番 DB のスキーマ変更を上級エンジニア 2 名の承認制にする。
- 02
同じ AWS IAM プリンシパルが監査ログのアクセスを作成と承認の両方できないようポリシーで禁止する。
● よくある質問
職務分掌(SoD) とは何ですか?
重要な業務を複数の人や系統に分割し、一人(一系統)だけでは完結できないようにする統制の原則。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
職務分掌(SoD) とはどういう意味ですか?
重要な業務を複数の人や系統に分割し、一人(一系統)だけでは完結できないようにする統制の原則。
職務分掌(SoD) はどのように機能しますか?
職務分掌は、重要業務に必ず 2 人以上の独立した担当者を関与させることで、不正・誤り・悪用を防ぎます。典型例は、コードを書く開発者とリリース担当、支払いの申請者と承認者、特権アクセス申請者と JIT 昇格を承認するセキュリティ担当などです。SOX、PCI DSS、ISO/IEC 27001、NIST SP 800-53(AC-5)で要求されます。実装には RBAC/ABAC、承認ワークフロー、コードレビュー、多者承認、暗号操作の二者制御を用います。小規模チームで完全な SoD が難しい場合、監査ログ、監視、定期レビューなどの補完統制で代替します。
職務分掌(SoD) からどのように防御しますか?
職務分掌(SoD) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
職務分掌(SoD) の別名は何ですか?
一般的な別名: SoD, 職務の分離。
● 関連用語
- identity-access№ 854
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。
- compliance№ 717
Need-to-Know(必要に応じた知る権利)
業務上の必要があると認められた人だけに情報を開示する原則。たとえ適切な機密区分の許可を持っていても適用される。
- identity-access№ 946
ロールベースアクセス制御(RBAC)
権限をユーザーに直接ではなくロールに付与し、ユーザーはロール割り当てを通じてアクセス権を継承する認可モデル。
- identity-access№ 861
特権アクセス管理(PAM)
管理者権限を持つアカウントやシステムへのアクセスを安全に管理・制御・監視・監査するためのプラクティスとツールの総称。
- compliance№ 968
サーベンス・オクスリー法(SOX)
投資家保護を目的に、上場企業へガバナンス・内部統制・報告に関する要件を課す、2002 年の米国連邦法。
- compliance№ 807
PCI DSS
決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。