@ITspecial

pr


 @IT情報マネジメント編集部は2月28日、同編集部が主催するイベント『「来て」「見て」「試して」内部統制対策ショーケース』を、東京・青山ダイヤモンドホールで開催した。

 基調講演では、ベストセラー「なぜ会社は変われないのか」著者の柴田昌治氏が講演。特別講演では、元ライブドアホールディングス 代表取締役社長 平松庚三氏が講演した。各セッションでは、ID管理やログ管理製品をデモを交えて説明し、文書化以降の具体的な手立てに迷う向きも多い中、次年度以降の対応作業のヒントとなる内容を紹介した。

イベントレポート インデックス ―― Aトラック
効果的なIT統制を実現する認証・アクセス管理と統合ログ管理――RSAセキュリティ
時間とコストなぜかかる? 導入負担を抑えるID管理のご紹介――ソリトンシステムズ
内部統制のための情報セキュリティ――ソリトンシステムズ
内部統制時代の次世代型情報漏えい防止ソリューション――ウェブセンス・ジャパン
内部統制に必要なクライアント管理とは何か?――Sky
3000社300万クライアントの実績を誇るIT資産管理ツール――クオリティ
Bトラックのイベントリポートへ


セッション1:RSAセキュリティ
「効果的なIT統制を実現する認証・アクセス管理と統合ログ管理」

●認証強化とアクセス・ログ管理が、確実なIT統制の鉄則

RSAセキュリティ マーケティング統括本部長 宮園充氏

 IT統制活動では、いったん業務処理統制を行っても、システム改変時に新システムに統制内容が反映されなかったり、プログラムへの不正アクセスによって統制が機能しなくなる、といった事態が起こり得る。

 宮園氏は「これらを防止するためには、不正アクセスを防ぐ認証強化とアクセス管理、またシステム改変などの過程を記録するログ管理、以上の3つがポイントとなる」と指摘。それぞれのソリューションとして、認証管理製品「RSA SecurID」とアクセス管理製品「RSA Access Manager」、統合ログ管理製品「RSA enVision」を紹介した。

 まず個人認証では、重要情報にアクセスできる人間を限定し、特定しなければならない。しかし、基本認証システムとして広く使われている固定パスワードは、デフォルトのまま使われていたり、推測されやすいものに設定されていることが多く、セキュリティレベルが低いといわざるを得ないのが現状だ。

 「RSA SecurID」では1分間おきに新しいパスワードを生成。認証サーバ側もこれに同期してパスワードを生成し、両者が合致して初めてアクセスできる二要素認証を採用している。「いわばパスワードを使い捨てにするため、より安全・確実な認証管理ができる」(宮園氏)。

 一方、ユーザーは複数のシステムにアクセスするのが一般的だが、システムごとに個別の認証システムが存在し、アクセス管理を煩雑にしている例が多い。

 「RSA Access Manager」はこの点に貢献するツールだ。複数システムの認証方式に対応し、一元的なアクセス管理を実現する。一方で、ユーザー側には単一のパスワードで複数システムにアクセスできるシングルサインオン機能を提供し、使い勝手、業務効率化の双方に貢献する。

 そして3つ目のポイントである、各種システムの総合的なログ管理を実現するのが「RSA enVision」だ。さまざまなシステムのログを集中管理し、セキュリティ脅威に対するリアルタイムの監視・対応を実現。法律・規制・業界ガイドラインなどコンプライアンス証明にも活用できる。

 宮園氏は、これら3製品について、監査法人トーマツ、京セラなどの導入事例を交えながら具体的に解説。「パフォーマンス、使いやすさ、コスト面で高評価を頂いている。ユーザー企業のIT統制を力強く後押ししていきたい」とアピールした。

お問い合わせ先:info-j@rsa.com

セッション2:ソリトンシステムズ
「時間とコストなぜかかる? 導入負担を抑えるID管理のご紹介」

●IDの運用ルール整備とシステム構成が合理化のポイント

ソリトンシステムズ 主任 目黒学氏

 2007年5月にソリトンシステムズが行った調査では、ユーザー企業にとってID管理システムの導入・運用コストが大きなハードルとなっていた。

 これを受けて、目黒氏は同社のID統合管理基盤ソフトウェア「ID Admin」を使った現実的なシステム構築を紹介。「負担を抑えるにはID管理システムの構成がポイントだ」と解説した。

 通常のID管理システムでは、中央にマスタとなるディレクトリを構築し、ユーザーIDにかかわるすべての情報が中央ディレクトリに格納されている。このような構成では、ID管理システムが保持する、グループ名などのユーザー属性情報は、管理対象システム側でも保持されており、重複して同じ情報を保持する状態となる。従って、膨大なユーザー情報が格納されている中央ディレクトリの構築費やメンテナンス負荷が非常に負担となる。

 ソリトンシステムズの目黒学氏は、「ユーザー属性情報は個々のID情報として保持するのではなく、ポリシー化して保持することが重要。そうすることで、重複してユーザー属性情報を保持することはなくなる。結果、ID管理側は最小限の情報を保持するだけで済み、システム構成も最小限に抑えられる」と説明する。

 一方、IDの管理対象となる各種システムとの連携方法もポイントとなる。例えば、独自に作り込んだ業務システムなどと直接連携する場合には、開発が必要になるためコストが高くなる。CSV経由で連携する場合には、連携が容易な半面、ID管理機能に制約が生じる可能性がある。「合理的にシステムを構築するには、連携対象、接続方法を吟味することも大切だ」(目黒氏)。

 「ID Admin」はこれらの注意点を考慮した上で開発。目黒氏は「導入・運用コスト低減を初め、あらゆる課題を解決する機能を豊富に盛り込んでいる」とアピールした。

 また「ID Admin」は、部署、役職、名前など最小限のユーザー情報とテンプレート化されたポリシー情報のみで運用するため、膨大な中央ディレクトリを必要としない構成となっている。

 加えて、弊社のICカード認証システム「SmartOn」と連携することで、セキュアなパスワード管理を実現できる。ユーザー側はSmartOnのパス機能を活用して、複数のシステムにパスワードを必要とせずにアクセスすることができる。一方、管理者はパス機能によって、ユーザーへパスワードを伝える必要がなくなり、「ID Admin」から定期的にパスワード変更を実施すればよい。接続については、一般的なデーターベースであれば連携可能な、汎用的なコネクタを用意し、連携にかかるコストを低減することができる。

 また、ID管理システムの監査では「退職者のIDが残っていないが、適切にアクセス権が付与されているか」などをチェックすることが求められる。その点、ID Adminの監査機能は定期的に全ユーザー情報をチェックし、ポリシーと違っていた場合は自動的にエラーを検出する。さらに、検出された情報を正しい設定値に修正することができる。もちろん、実施された監査結果はレポートとして出力する機能が実装されている。

 目黒氏は「内部統制対策支援として、低コストで有効に活用できるはず。ぜひ検討してほしい」とまとめた。

お問い合わせ先:netsales@soliton.co.jp

セッション3:ソリトンシステムズ
「内部統制のための情報セキュリティ」

●漏えい経路をツリー表示。シンクライアント対応に注目

ソリトンシステムズ 主任 大野真理子氏

 ソリトンシステムズは、PCの操作ログ収集・解析を行う「InfoTrace」と、そのSaaS型サービス「InfoTrace-OnDemand」も提供している。セッションでは大野氏が「InfoTrace」を、高橋氏が「InfoTrace-OnDemand」を紹介した。

 「InfoTrace」は「エージェント」と呼ぶアプリケーションをクライアントPCにインストールすることで、エージェントがPCの操作を常時監視。ファイルの参照やコピー、ファイル名変更、削除といった各種操作を記録してログサーバに送信・記録する。

 プリンタの使用やWebサイトの閲覧状況のほか、ログオン・ログオフなどデスクトップの状況も記録。OSのカーネルレベルで監視するため、アプリケーションのバージョン、プリンタのメーカー・機種などに関係なく、ログ収集できる点もポイントだ。この春よりシンクライアントに対応し、シンクライアントと一般環境が混在しても利用できるようになる。

 最大の特長は、情報漏えいがあった際、漏えい経路をツリー型で表示できることだ。元ファイルの操作から最終的に持ち出すまでのログ追跡を行う「拡散トレース」と、外部デバイスにコピーしたファイルなどから親ファイルをたどる「バックトレース」の2つの機能を持つ。

ソリトンシステムズ 高橋修一氏

 また、漏えいの危険性があるアクションを指定しておき、ユーザーがその操作を行うと管理者に通知するアラート機能も装備。大野氏は「製造、金融、自治体など、すでに多くの導入実績がある。クライアントPCにエージェントを組み込むだけで導入・運用できる点もメリットだ」と、その信頼性、利便性を強調した。

 一方「InfoTrace-OnDemand」はログ収集、分析、レポート、管理を一括で提供する導入・運用の楽なSaaS型のサービスだ。ソフトウェア、プリンタ、メール、Web、USBメモリなどの使用状況を記録。レポートでは、それぞれの操作がどれだけ行われたのか、グラフで視覚的に確認できるほか、誰が、いつ、どんな操作をしたのか、簡単に把握できる。

 高橋氏は「ISMSなど情報漏えい対策を行っていても漏えいが止まらない例が多い。それは情報の動きを把握できていないためだ。安全を維持するにはログを管理して、結果を分析し、対策を打つ、この一連のサイクルを日常的に回し続けられる体制が必要だ」と指摘。「InfoTrace-OnDemandならインストーラをダブルクリックして再起動するだけ。低価格で明日からでも始められる」と力強くアピールした。

お問い合わせ先:netsales@soliton.co.jp

セッション4:ウェブセンス・ジャパン
「内部統制時代の次世代型情報漏えい防止ソリューション」

●過失による情報漏えいをブロック。業務効率向上にも貢献

ウェブセンス・ジャパン 加藤純氏

 情報漏えい事件の80〜90%は社員の過失など、意図しない行為によるものといわれている。

 しかし、情報漏えいが起これば、たとえ偶発的なものだったにせよ、信頼失墜、業績悪化など企業が負うダメージは大きい。業務を守るには、効率性を阻害せず、確実に情報を管理・保持できる体制を整えなければならない。

 加藤氏はこうした見解に基づき、同社のネットワーク型情報漏えい対策ソリューション「Websense Data Security Suite v6.5」を紹介した。

 組織における各情報が、PC端末、ファイルサーバなど社内ネットワークの「どこ」にあるかを検出し、その情報を「誰が」「どのように」利用しているか監視。組織のポリシーに違反するデータ漏出をリアルタイムにブロックする。

 具体的には、機密データを添付したメールは送信できない、機密データはWebサイトへの書き込みができない、機密データを含んだ文書の印刷はできないといったように、ネットワーク上、およびエンドポイントで漏出を防止する。また、情報の一部分だけをインスタントメッセンジャーやブログなどにコピー&ペーストして外部に持ち出させない、などの設定も可能だ。

 特徴は、漏出したくない情報を保護するためのポリシーを定義しておき、そのポリシーに抵触するデータのみブロックする点だ。独自のフィンガープリンティング技術「PreciseID」を用いて、ネットワーク上を流れるデータと、あらかじめ設定した機密データをマッチングする仕組みとなっている。

 「企業には社外に持ち出してもいいデータ、出すべきデータもある。一面的に全データに制限をかけるのでは生産性を著しく阻害してしまう。機密情報のみを自動的にブロックすることで、効率性と信頼性を両立できる」

 また、SOX法をはじめ、PCI(クレジットカードの世界標準)、個人情報保護法、FISC(金融業界ガイドライン)など各種法令、ガイドラインに準拠。これらが規定する重要な情報資産を漏えいから確実に守ることができる。

 「いつ、誰が、何を、どこから、どこへ、何を経由して漏えいを起こしたか」インシデントを整理した状態で数年分のログを残し、漏えいの分析、対策に役立てられる点もポイントだ。

 加藤氏は「データ漏えいリスクの最小化とともに、データセキュリティ管理の自動化や業務プロセスの透明化により効率性も高められる。競争力向上に大きく貢献するはずだ」と力説した。

お問い合わせ先:japan@websense.com

【ホワイトペーパー】
 従来のデータ管理では機密情報の漏えいを防げない!?
情報資産のリスク管理は企業にとって大きな課題となっているが、決して容易な作業ではない。ここでは、ビジネスプロセスの効率性を高めながら、精度の高いリスク管理およびコンプライアンス管理を実現するソリューションを紹介する。


セッション5:Sky
「内部統制に必要なクライアント管理とは何か?」

●直感的に分かる操作方法。こだわって開発した「使いやすさ」

Sky 部長 金井孝三氏

 Skyのクライアント運用管理ソフトウェア「SKYSEA Client View」は、クライアントPCのログ収集をはじめ、資産管理、画面操作録画、端末機制限・制御など、情報セキュリティ対策に必要な機能をすべて網羅。煩雑になりがちなクライアントPCの運用管理を効率的にサポートする。

 金井氏は経済産業省が定めた「システム管理基準(追補版)財務統制に係るITガイダンス」に沿って、現実的な視点から「SKYSEA Client View」の機能を解説。「最大の特徴は、徹底的にこだわった使いやすさだ」とアピールした。

 「運用管理ソフトウェアは毎日使うものではないため、慣れによって操作を覚えることは考えにくい。そこで、操作内容をイメージしやすいアイコンや、機能ガイドなどを用意し、マニュアルなしで操作方法が分かる画面表示とした」(金井氏)。

 また、導入時には運用管理のポリシー定義が必要なソフトが一般的ななか、「SKYSEA Client View」は、よく使われる項目をあらかじめ用意。チェックボックスを選択するだけでアラートを設定できる。

 一方、機能面では「操作ログの取得」「不要なソフトの利用禁止」「資産情報管理」など、経産省が定めた管理基準に対応。中でも「証跡の記録」の手段となるログ管理では、アプリケーションの利用状況やファイルアクセスなどをグラフ化。「視覚的、直感的に状況を確認できるよう配慮した」という。さらに、ログだけでは操作内容を判別できない場合も考慮し、画面操作録画機能もオプションで用意している。

 また「資産管理」では、どんなPCが、何台、どのような使われ方をしているのか、といった端末機稼働状況をはじめ、資産変更状況、アプリケーション状況などを、目的別に把握可能。

 統制実務は、監査部門が主導権を握るべきもの。しかしソフトウェアの使い方が分からず、情報システム部門に頼らないと実務が行えないといったケースもよく聞かれる。

 金井氏はこれに対し、「内部統制の観点から見れば、これは好ましくない。監査部門は部門としての独立性、客観性を厳密に担保した状態で実務を遂行すべき」と指摘。あらためて「SKYSEA Client View」の使いやすさを指して「内部統制をより確実、効率的に行うためにも、ぜひ導入を検討してほしい」と訴えた。

お問い合わせ先:info@skyseaclientview.net

展示ブース紹介:クオリティ
「3000社300万クライアントの実績を誇るIT資産管理ツール」

●3000社300万クライアントの実績を誇るIT資産管理ツール

クオリティが出展していたブースの様子

 内部統制対策ショーケースにはクオリティ株式会社が出展しており、来場者に商品を説明した。同社の主力商品は、IT資産管理ツールの「QND Plus」だ。QND Plusは、1998年にリリースされて以降、10年間で3000社300万クライアントの実績を持つIT資産管理ツール。

 具体的には、クライアントに専用エージェントをインストールすることで、クライアントにおける各種情報を取得・管理できるほか、セキュリティパッチやアプリケーションの配布機能、クライアントPCの台帳制作、構成維持管理、遠隔操作などが行える。QND Plusの上位製品に当たる「QAW」ではこれらの機能に加え、ソフトウェアの起動制御やインストール制限も行える。

 会場では、新製品のクライアントPCの操作ログ取得ツール「QOH」も公開した。QOHは11種類のクライアント操作ログを取得し、監査レポートなどを作成できるログ収集ツール。プロセスの起動やファイル操作、ドキュメントアクセス、スナップショットなどさまざまなPC操作のログを取得できるため、抑止力や監査の証拠として期待できるという。ディスク容量の関係上、取得するログを管理したい場合には、グループを作成して各グループに対して取得するログを設定することができる。

 クオリティでは、セキュリティ監査セットとして、IT資産管理ツールの「QND Plus」や「QAW」とログ取得ツール「QOH」、データ持ち出し制限ツールである「eX WP」、レポートツールの「eX Report」の4製品を組み合わせたセット販売も行っている。これらのセットを導入することで、PCの状態把握から、ログ管理、データの持ち出し制限からレポートといった監査に必要な機能を一貫して提供する。

 クオリティ プロダクトマーケティング&カスタマーリレーショングループ サブマネージャー 肥田雄一朗氏は、「当社製品の最大の強みは、10年間の歴史に支えられた3000社300万クライアントに導入して頂いている実績と、導入して頂いた後も、当社製品を使用した効果的なソリューションを欠かさずユーザーに提供し続けていることだ」と語った。

お問い合わせ先:mk@quality.co.jp

【ホワイトペーパー】
 今からでも間に合う! IT全般統制対応を短期間で実現するツール群
情報漏えいを防ぎ、内部統制への対応を万全に整えるための最初のステップとして必要なのがログ管理だ。PC操作のログ管理および監視をサポートするツール群を紹介する。

提供:RSAセキュリティ株式会社
株式会社ソリトンシステムズ
ウェブセンス・ジャパン株式会社
Sky株式会社
クオリティ株式会社
企画:アイティメディア 営業局
制作:@IT 情報マネジメント編集部
掲載内容有効期限:掲載内容有効期限:2008年3月31日