IT全般統制の重要ポイント、 「クライアントの管理・統制」を考える 「Systemwalker」による証跡管理とIT資産管理で実現する確実なIT全般統制

		IT全般統制に不可欠なクライアントセキュリティのコントロール

　企業のITリスクを考えるうえで重要なポイントといえるのが、クライアントのセキュリティ管理だ。ITシステム全体をセキュアな状態に保ちながら、さまざまな立場のユーザーが必要な情報にアクセスするためには、“どのユーザー”が“どのクライアント”から“どの情報”に対してアクセスできるのかをポリシーでルール化し、管理する必要がある。具体的には、ユーザー単位でのポリシー設定や、ファイル操作制限、不正接続切断、ネットワーク検疫などの機能である。さらに、これらの記録を証跡として管理し、ITシステムの統制がとれていることをきちんと証明できなければならない。

　また、クライアントPCをはじめ、ITシステムを構成するすべての資産を把握し、設置場所、利用者、利用のポリシーを正しく管理することも重要だ。この資産管理が正しく行われなければ、クライアントPCの持ち出しを制御したり、脆弱性のあるPCを検出したりといった管理も実現できない。つまり、不正アクセス対策や、情報の持ち出しを正しくコントロールすることはできないのだ。

富士通株式会社 ソフトウェア事業本部 ミドルウェア事業統括部 第二ミドルウェア技術部 プロジェクト課長 堀江隆一氏

　富士通株式会社 ソフトウェア事業本部 プロジェクト課長の堀江隆一氏は、次のように語る。

　「企業において、コンプライアンスに向けた対応はますます重要になってきており、統制の実現は企業の社会的責任といえます。単なる不正アクセスの防止や情報漏えい対策だけでなく、企業はIT全般統制というより広い視野でITを考えなければなりません。その中で、ITシステムの運用管理における監査が重要なポイントとなります」

		“誰が”“何を”しているか──証跡管理の重要性

　ポリシーに従ってクライアントセキュリティが確実に管理されていることを証明するには、徹底した証跡の管理が重要だ。Systemwalker Desktopシリーズでは、定常的な分析と点検によって問題の早期把握と対応を行うというセキュリティ管理のPDCAサイクルを実現する。

　「Systemwalker Desktop Keeper」は、“誰が”“何を”しているかを把握するために、PC操作のログを収集・記録するソフトウェア製品だ。収集できるログの種類は、ファイル操作記録や外部媒体使用記録など多岐に渡っている。また、シンクライアントの操作ログも取得することが可能となっている。

　「シンクライアントを導入する企業は増えていますが、シンクライアントの操作ログが取得できる製品はまだまだ少ないのが現実です。Systemwalkerはいち早くシンクライアントのログ取得に対応しました」（堀江氏）

図1　シンクライアントの操作ログも取得する

　「Systemwalker Desktop Log Analyzer」は、情報漏えいに繋がる可能性のある操作の動向を数値化してリスク傾向を把握できる。さらに、情報漏えいに繋がるおそれのあるPC操作については、点検帳票を作成してファイル持ち出しやメール送信など詳細な調査を行うことができるようになっている。

　また、特定のファイル操作履歴を関連付けることで、重要情報の流出経路をひと目で把握することも可能となっている。さらに、ファイル持ち出しの際に原本をサーバに保管し、持ち出したファイルの内容を管理者が把握したり、改ざんされていないかどうかのチェックができる。

		求められる“確実な資産管理”

　企業内に導入されているPCや、そのほかのIT資産を管理することは、IT全般統制にとって非常に重要な要件だ。

　「Systemwalker Desktop Patrol」では、クライアントPCにエージェントを導入して自動的に構成情報を収集し、セキュリティポリシーが一定レベルにあるか、実態を調査（脆弱性管理）する。セキュリティパッチの自動適用やソフトウェアの自動ダウンロードも可能だ。また、購入したソフトウェアのライセンス数と実際に使用しているライセンス数の比較ができるため、ソフトウェアの適正使用管理とライセンスコストの削減を行うこともできる。さらに問題が検出されたPCの電源を、管理者主導でON/OFFする機能も実装されている。

　「Systemwalker Desktop Patrol Assessor」を合わせて導入することによって、周辺機器や携帯電話などのモバイル機器といったクライアントPC以外のIT資産も含めて統合的な資産管理も実現できる。PC以外のIT資産は、Systemwalker Desktop Patrol Assessorで作成したバーコードを機器に貼り、ハンディターミナルでバーコードを読み取る方式で情報を収集する。

　Systemwalker Desktop PatrolおよびSystemwalker Desktop Patrol Assessorで収集された情報は、台帳ベースで一元管理される。この情報を基に、固定資産管理台帳、ライセンス使用状況、契約一覧、棚卸状況などのレポートとしてExcel型式で出力できる。この情報は情報システム部門のみならず、総務部など他部門においても有効に使える情報となるものだ。

図2　ハンディターミナルを利用して、スピーディーな棚卸も可能

　「Systemwalkerは、海外でも多くの事例があります。オフショア開発はしたいが情報漏えいなどのリスクが心配だというお客さまの要望に適った製品といえるからでしょう」（堀江氏）

　このようにIT全般統制においては、クライアントの管理・統制は重要なポイントといえる。そのためには、クライアントPCをはじめとするIT資産全般を管理し、正しく統制されていることを証明する必要がある。SystemwalkerではIT全般統制の視点から、これらの確実な遂行を支援している。

図3　ソリューション構成図

◇

　今回は内部統制・セキュリティ対策を実施するうえで、リスクポイントになりやすいクライアントにおける「クライアントセキュリティ」「証跡管理」、および「IT資産管理」に関するソリューションの解説を行った。SystemwalkerはIT全般統制のさまざまな領域に対応する製品を提供しており、企業におけるIT統制活動を総合的にサポートしている。その実力を「富士通のミドルウェア」ページや「富士通 Systemwalker セミナー」で確認してほしい。