レスリー・ミルン氏、最高財務責任者、Gathid
数十年にわたり、職務分掌(SoD)は財務における最も信頼性の高い保護手段の1つであった。SoDはシンプルで理解しやすい原則だ。財務上重要な行為について、単一の個人が要求、承認、実行のすべてを行うことはできない。
これが機能したのは、業務が人間によるものだったからだ。プロセスは直線的で、システムは集中管理され、統制の境界は可視化されていた。
こうした前提はもはや成り立たない。
今日、財務ワークフローは人間、AIエージェント、自動化スクリプト、API駆動型システム、そして従来のポリシーチェックポイントとは独立して動作するクラウドサービスによって共有されている。現代の企業は今やハイブリッド労働力となっており、非人間アイデンティティが従業員に匹敵する、あるいはそれを超える特権を持つことが多い。
多くの取締役会は、アイデンティティリスクの深刻さをまだ理解していない
取締役会は現在、サイバーリスクにより多くの議題時間を割いているが、アイデンティティリスクは依然として著しく軽視されている。取締役はランサムウェアについて知っており、システム停止を懸念している。しかし、ほぼすべての重大な侵害の背後にある中核的な問題を過小評価している企業が多い。認証情報の侵害と特権の悪用は、業界、国、年を問わず依然として支配的な攻撃経路である。
認証情報が人間に属する場合、エスカレーション経路は馴染み深い。しかし、それが機械アイデンティティに属する場合、リスクは不可視化し、高速化し、多くの場合監視されない。
このギャップは、AIエージェントがベンダーを作成し、財務記録を修正し、ワークフローを承認し、機密データにアクセスすることで急速に拡大している。
その結果、不都合な真実は、ほとんどの組織が機械アイデンティティがSoD、最小特権、所有権、さらには基本的なライフサイクル管理に準拠していることを証明できないということだ。
従来のSoDは機械駆動型環境では機能しない
古典的なSoDフレームワークは以下を前提としている。
1. アイデンティティは人間に明確に対応する
2. 特権は安定している
3. アクセス変更は定義されたワークフローに従う
4. 例外は稀で管理されている
ハイブリッド労働力においては、これらのいずれも保証されない。
AIエージェントは職務記述書に適合しない。弾力的に拡張する。スクリプト、クラウドテンプレート、レガシーディレクトリから権限を継承する。システムの進化に伴い特権を蓄積する。そして、不満を言わず、辞職せず、経費報告書を提出しないため、そのアクセスが危険なほど広範になっても誰も気づかない。
さらに悪いことに、機械ワークフローはしばしばSoDが強制するよう設計された境界そのものを越える。
• 調達ボットがサプライヤーを作成し、銀行情報を更新する可能性がある
• データパイプラインエージェントが財務データを充実化、編集、配布する可能性がある
• リリース自動化システムが本番コードを修正し、昇格させる可能性がある
1つのエージェントが2つの相反する統制面にまたがった瞬間、SoDは崩壊する。CFOは人間が現金を盗むことを心配するが、より差し迫ったリスクは、過剰で監視されていない特権で動作する静かな自動化だ。
財務的・評判的リスクが高まっている
取締役会はしばしばSoDをコンプライアンスのチェックボックスと見なし、戦略的リスクとは考えていない。しかし、人間と機械のハイブリッド環境では、SoDの失敗は以下のようになる。
• 財務リスク:不正な資金移動、虚偽記載、詐欺
• 規制リスク:自動化された意思決定に対する統制を実証できない
• 評判リスク:顧客、監査人、市場からの信頼喪失
• 資本コストリスク:サイバー保険料の上昇、資本コストの上昇、承認の遅延
アイデンティティリスクが可視化されていない場合、SoDは保証ではなく仮定となる。仮定は監査人、保険会社、規制当局を満足させない。
SoDは今や機械、コンテキスト、継続的変化を含めなければならない
新たなSoDフレームワークは、静的な役割と四半期ごとの認証を超えて進化しなければならない。以下を考慮する必要がある。
• ボット、エージェント、スクリプト、APIを含む人間および非人間アイデンティティ
• 年単位ではなく時間単位で変化する動的アクセス
• 隠れた競合を生み出すシステム間特権チェーン
• 人間のガバナンスを反映する機械アイデンティティの所有権モデル
• 雇用状況、ワークロード、環境、システムの機密性などのコンテキスト属性
• 定期的なレビューではなく、継続的な検証
この種の可視性は手動では生成できない。財務がキャッシュフローをモデル化するように、アクセス関係を包括的、動的、明確な系統でモデル化する技術が必要だ。
現代のアプローチは、アイデンティティデジタルツインとナレッジグラフを使用して、人、システム、権限、機械の相互作用の日次画像を再構築する(完全開示:Gathidはこのソリューションを提供している)。これにより、組織は毎日SoD違反を検出し、実装前に特権変更をシミュレートし、どのアイデンティティ(人間または機械)が財務リスクの中心にあるかを明らかにできる。
最も重要なことは、SoDを静的なポリシーから生きた測定可能な統制に変換することだ。
取締役会には明確性、重要性、迅速性が必要だ
取締役会は技術的詳細を必要としない。取締役会が尋ねるべき質問は以下の通りだ。
• 資金を移動し、データを変更し、財務システムを修正できる特権を持つアイデンティティ(人間および機械)はいくつあるか
• SoD違反をどれだけ迅速に検出し、修正できるか
• すべての機械アイデンティティは所有され、正当化され、期限が設定され、監視されているか
• 数カ月ではなく数分でエビデンスパックを生成できるか
• 1つの高リスクアイデンティティが侵害された場合の財務的影響は何か
これらの質問は会話を変える。アイデンティティリスクは定量化可能になり、SoDは取締役会レベルで可視化され、自動化は安全に拡張できるようになる。
CFOはポストヒューマン時代のSoDを設計する必要がある
CFOは現在、この進化の中心にいる。なぜなら、その核心において、SoDは財務統制だからだ。現代のSoDプログラムは、シンプルな前提から始めるべきだ。見えない職務を分離することはできない。
そこから、ロードマップは明確になる。
1. すべてのアイデンティティと特権(人間および機械)の統合された日次モデルを構築する
2. システム間で特権チェーンを追跡し、隠れた競合を見つける
3. 目的と更新サイクルを持つすべての機械アイデンティティに所有権を割り当てる
4. 人だけでなく自動化のためのSoDを定義する
5. 例外に期限を設定し、可視化し、監視する
6. 実装前に変更をシミュレートし、運用リスクと財務リスクを削減する
7. アイデンティティリスク報告を取締役会に引き上げ、財務的観点から枠組みを作る
財務の安全性の未来はSoDの書き換えにかかっている
従来のSoDは、もはや存在しない世界のために構築された。新たなSoDは、動的でアイデンティティを基盤とし、機械を認識し、実証可能なものでなければならない。CFOはこの変革を主導する独自の立場にある。取締役会はそれを期待している。保険会社はそれを価格設定している。監査人はそれをテストしている。AIはそれを加速している。
今SoDを近代化する企業は、リスクを削減するだけでなく、市場が要求する速度で自動化を安全に、責任を持って拡張する自信を得ることができる。
