J-SOX法2年目の内部統制とセキュリティ。変化を前提とした基盤整備を。

金融商品取引法(J-SOX法)が施行されて2年。多くの企業では,内部統制強化に向けた取り組みが進む一方,実際の運用においての様々な課題も浮かび上がってきている。一方では,景気の先行きがいまだ不透明な中,利益に直結しない内部統制やセキュリティにどこまで投資すべきか逡巡している経営者,システム担当者の方も多い。J-SOX法2年目を迎えた今,内部統制を含めた企業のITセキュリティのあり方について,もう一度整理してみよう。

“変化”に追い付けない現在のITセキュリティ

榎本 司氏
日本ヒューレット・パッカード株式会社
テクノロジーサービス統括本部
インフラストラクチャソリューション本部
セキュリティ本部
ビジネス開発 & プロダクトマネージャ
榎本 司

J-SOX法への対応は,内部統制やその前提となるITセキュリティに対する日本企業の意識を確実に向上させた。しかし,多くの企業の実際のセキュリティレベルは,現在の状況に必ずしも追いついていないと日本HPの榎本氏は語る。

「例えば,セキュリティリスクの変化に不安を感じる企業は少なくないでしょう」

実際,SQLインジェクションなど新たな攻撃手法の登場に加え,内部犯行や社員のミスによる情報漏洩も多発している。万一の場合の対応にも厳しい目が注がれ,すばやい原因究明,影響範囲の特定と的確な対処,そして詳細な説明が最低限の条件となってきた。

一方,クラウドサービスの採用や,モバイルワーカー,在宅勤務への対応など,企業のITインフラの形態や利用スタイルも多様化。クラウドサービス等,外部サービスとの連携を想定した社内のセキュリティ対策の検討も新たな課題として浮かび上がっている。

J-SOXをはじめとする法規制への対応も大きな負担だ。カード会社やその関連業界におけるPCI DSSをはじめ,業界別のレギュレーションにも対応していかなくてはならない。

「リスクから技術,ユーザーの利用形態,法規制まで,すべてが大きく変化しています。今求められているのは,これらの変化に対応するためのビジョンではないでしょうか」

ムダなく,抜けなく進化するセキュリティ。HPのITセキュリティ・インフラストラクチャ

変化に対応するためのビジョンを探る前に,現在のITセキュリティの問題点を整理しておこう。

「多くの企業では,ITシステムの増加と連動して個別のセキュリティ対策を対症療法的に導入してきたために,ITセキュリティ全体が複雑化しています。それに伴って管理負荷も増大し,変化に対応するための変更や拡張も難しくなっているのです」(榎本氏)

環境が複雑化すれば,様々な「ムダ」やリスク対策の「抜け」も避けられない。その結果,リスクも増大してしまう。

これらの問題を解決するために必要なのは,セキュリティのためのサービス基盤という新しい発想だと榎本氏はいう。

「ITインフラの統合化,標準化が進み,セキュリティについても同様に,セキュリティ運用の各プロセスを標準化し,それぞれのサービスを連携・統合化することで,ITセキュリティ全体のリスクを可視化します。これにより,ムダや抜けのない効果的な対策が可能になり,管理負荷も軽減できるのです」

ITセキュリティ全体を網羅するこのサービス基盤を実現するため,HPが提唱しているのが「ITセキュリティ・インフラストラクチャ」である(下図参照)。

図1

「ITセキュリティ・インフラストラクチャ」は,4つのレイヤーから構成される。

最上層のセキュリティ・プランニング&ガバナンスは,ITセキュリティのガバナンスの構造設計を担うレイヤーだ。ITセキュリティ対策をシンプル化・標準化してサービスとしてバリューチェーン全体に提供することで,ITシステムの全ライフサイクルを通じて,一貫したセキュリティポリシーを実装できるようになる。

アイデンティティ&アクセスマネジメントは,多様なアプリケーションに共用できるID・アクセス管理の統合管理基盤だ。この統合管理基盤を設けることで,ユーザへの迅速なアクセス提供と高度な統制という2つの異なる要求を同時に満たすことができるようになる。一方,プロアクティブ・セキュリティマネジメントは,セキュリティ運用の各プロセスを標準化して,連携・統合化する役割を担うものだ。これにより,管理対象すべてを網羅して,全体としてのリスクを可視化できるようになる。さらに,管理負荷を改善しながら,ひとつひとつの対策効果を向上させる,統合的なリスク管理も可能になる。

最下層のトラステッド・インフラストラクチャは,ハードウェアやOS,ネットワークに実装されたセキュリティだ。セキュリティをハードウェアに組み込むことでセキュリティの実装をシンプル化できる。

これら4つのレイヤーを組み合わせ,定義することで,強固なセキュリティの基礎を構築することができるという。さらに,このセキュリティ基盤によって,変化への対応も容易になる。

「各業務システム,セキュリティシステムからのデータ収集の連携や分析のためのインフラが構築されると,規制内容の変更にも柔軟に対応できるようになります」

例えば,J−SOXやPCI DSSのような法規制の変更にも柔軟に対応できるとのこと。もちろん,リスクや技術,利用形態の変化に対しても,専用のセキュリティ対策を新規に導入する必要が減る。計画性,一貫性のある対策も可能になる。つまり,変化に対応するためのビジョンを手にできるわけである。

この「ITセキュリティ・インフラストラクチャ」の核となる要素として,榎本氏は,アイデンティティ&アクセスマネジメント,プロアクティブセキュリティマネジメントを挙げている。次節以降は,これらについて紹介していこう。

ID&アクセス管理を統合するHP IceWall SSO

すべてのセキュリティの軸となるのがIDである。これが統一されていないとITセキュリティ全体が,ムダと抜けだらけになってしまう。J-SOX対応の一環としてIDの統合管理をテーマとした企業も少なくないが,現状は手作業で対応しているケースが多いという。

「定期的なIDの追加,変更,削除,棚卸し作業に,かなりの工数を使っていると聞いています。手作業ともなるとミスも避けられません」(榎本氏)

企業内には数多くのアプリケーションが存在するが,それらが管理するユーザ属性やIDの登録基準はバラバラだ。さらに複数人によるIDの使いまわしや利用者の実態がない「幽霊アカウント」も横行している。利用者個人もシステムごとにログインを行ない,複数のIDを管理している。このような状況で,セキュリティレベルを保つことは,難しい。ID&アクセス管理ソリューションの導入は,必須なのである。

「アクセス管理ソリューションを導入すれば,利便性の向上を図りながら,セキュリティ対策を行うことができます。またID管理ソリューションを導入すると,管理の統合化,作業の自動化など効率化が図れます。利用者等にも導入の効果を目に見える形で感じてもらうには,アクセス管理ソリューションとしてシングルサインオン(SSO)製品の導入が最適でしょう」

SSO製品は,各アプリケーションに代わってすべてのID,パスワードでの認証をSSOサーバーが受け,アクセス権のチェック,さらにアクセス状況や監査証跡の管理を実行する(図参照)。

図2

榎本氏が薦めるSSO製品は,「HP IceWall SSO」である。純国産製品として1997年に登場して以来,国内アクセスコントロールパッケージ市場でNo.1のシェアを誇っている。信頼性や柔軟性など製品としての優位性に加え,連携するID管理製品が自由に選べるという点も見逃せないと榎本氏。

「大企業であれば数十万人規模のID管理に適した製品が選べますし,Googleなどの外部サービスを合わせて使いたいのであれば,SaaSとの連携に優れた製品が選べます。認証部分を切り替えることで,利用環境の拡大に柔軟に対応できるのがHP IceWall SSOのメリットなのです」

もちろん,誰をどこにアクセスさせるのか(認証と認可),実際に誰がどこにアクセスしたのか(監査証跡)といったアクセス管理もIDごとに徹底できる。

J-SOX対策を進める企業の中では,ユーザ登録・変更業務の増大に苦慮しているところも多い。HP IceWall SSOは,統一的なID管理,アクセス管理だけではなく,そういった管理負荷の軽減にも即効性がある。「ITセキュリティ・インフラストラクチャ」を構築する第一歩として導入を検討してみてはいかがだろうか。

コンプライアンス対応,プロアクティブな管理を実現するHP CLW

「ITセキュリティ・インフラストラクチャ」の核となる要素の2番目は,ログ管理である。プロアクティブなセキュリティ・マネジメントを実現するうえで,業務システム及びセキュリティシステム,ネットワーク機器等のログの収集と分析は重要な役割を果たす。

「システムから発生するログは,企業活動を細部に至るまで忠実に記録しています。これを読み取ることで,セキュリティ上の問題点を事前に発見し,顕在化する前に対処できるようになります」(榎本氏)

ログを情報資源として活かすことで,ITセキュリティ全体を継続的に改善させることが重要だと榎本氏は語る。そのためには,様々な業務システムにおける膨大なログを自動的に収集する機能やそのデータをドリルダウンする分析機能が必要になる。

「もちろん,内部統制においてもログ管理は重要な役割を果たします。PCI DSSをはじめ,各業種のレギュレーションで証跡としてのログの収集と監査が求められています」

これらの課題に応える統合ログ管理ツールが,「HP Compliance Log Warehouse 2.0(HP CLW)」である。高信頼な「HP Integrityサーバー」にログ管理ソフトウェア「SenSage」をプリインストールしたアプライアンス製品だ。

図版3

「統合的なログ管理から蓄積,分析まですべてのコンポーネントがワンパッケージになっています」

OSからデータベース,アプリケーション,セキュリティデバイスなど,企業内ITインフラのすべてを網羅。動作ログ,アクセスログ,アプリケーションログなど企業内のシステムが生み出す膨大なログを統合的に管理するとともに,ログの収集から保護,分析,保管,監視,監査までの作業を一元化できる。

さらに,各種セキュリティ基準に対しても,HP CLWの統合ログ分析・レポーティング機能が威力を発揮する。目的に応じたログレポートを容易に作成できるレポート作成ウィザード,ダッシュボード作成などの機能もある。

コンプライアンス対応,プロアクティブなセキュリティ管理まで実現できる新しい統合ログ管理ツール。これも,目に見える導入効果が期待できるソリューションだと言えるだろう。

(まとめ)

まずは,ID&アクセス管理,そして統合ログ管理から,ITセキュリティの基盤を固めていくべきだろう。そのあとは,企業固有の課題に応じて,様々なソリューションを導入していくことになる。ただ,どんな課題に対処するにあたっても,包括的なITセキュリティ基盤という全体像に組み入れられるソリューションを選ぶことが大切だ。変化に翻弄されずに,ITセキュリティを維持・発展させるための,それが唯一の道なのである。

関連するオススメ記事

企業に必要な認証基盤を調査した! 無料ダウンロード実施中
《調査レポート》再考: シングル・サインオン〜企業ITを支える統合認証基盤の価値

《調査レポート》再考: シングル・サインオン〜企業ITを支える統合認証基盤の価値

ITリサーチ&コンサルティング会社のITRが行った「シングル・サインオン製品」に関する調査レポートを期間限定で公開! 顧客情報の漏えいなどアクセス管理の不備が企業に及ぼす影響から,認証基盤の統合によって得られるビジネス価値までを客観的に考察しています。コンプライアンス・内部統制に携わる方,IT部門の方必見のホワイトペーパーです。

PDFダウンロードはこちらから

関連ニュース

提供:日本ヒューレット・パッカード株式会社

ITpro SPECIALオンラインセミナー

注目事例集

今月の注目コンテンツ

  1. 見えないデバイスは,管理できない。
    仮想化が,ネットワーク管理に突き付けた課題。
  2. 日本HPのものづくりへの“こだわり”が結実した「東京生産」
  3. ビジネスノートPCは「あん」「しん」「かん」で選ぼう【vol.2】
    ひ弱なPCでは物足りない。
    プロの道具にふさわしい信頼感をもっとPCに。
  4. 確かな理由がある。“標準クライアントPC”の正しい選び方【第2回】
    省電力なクライアントPCが,節電目標達成をサポートする。
  5. 確かな理由がある。“標準クライアントPC”の正しい選び方【第1回】
    クライアントPC,運用管理とセキュリティ強化は両立できる。

注目セミナー

おすすめキャンペーン情報