@ITspecial

pr


 @IT情報マネジメント編集部主催の「内部統制 合同ソリューションセミナー」が、2007年12月7日に大阪・新梅田研修センターで開催された。

 巨大企業では、すでに「内部統制」や「日本版SOX法」の作業を終えたという話が聞こえてくる一方で、まだ多くの企業は文書化作業の途中、または何から手を付けたらよいのか分からないという企業も少なくないのが現状だ。今回のセミナーでは、そうした、これから内部統制に取り組む方や、文書化の次のフェイズに悩んでいる方に向けて、実務に役立つ情報を提供した。

 セッションに先立ち行われた特別講演では、アイティメディアの@IT発行人・新野淳一と@IT情報マネジメント編集部・大津心が「“予防”と“発見”で強化する内部統制」をテーマに、予防的統制と発見的統制による内部統制を効率的に実施するためには自動化が不可欠であることを訴えた。

 また、セッション2とセッション3の間には、テックバイザージェイピー代表取締役の栗原潔氏による特別講演「適切な内部統制確立のためのIT全般統制に向けた提言」も行われ、IT統制を効率的に保守・運営するためのポイントを戦略的観点から分析。内部統制のカギとなるIDやログの必要性について解説した。ここでは、本セミナーで行われた4つのセッション内容を詳しく紹介する。

イベントレポート インデックス
導入負担を抑えるID統合管理――ソリトンシステムズ
SOX対策に終わらせない「KCCS内部統制ソリューション」――京セラコミュニケーションシステム
内部統制のための情報セキュリティ――ソリトンシステムズ
ログ活用による内部統制実現の手法――RSAセキュリティ

セッション1:ソリトンシステムズ
「導入負担を抑えるID統合管理」

●ID管理ツール導入では、コストへの不安が敷居を高くしている

ソリトンシステムズ 事業開発本部 プロダクトマーケティング部 主任
目黒学氏

 内部統制対策が叫ばれる中で、ID管理への注目度が高まっている。しかし、いざID管理をしようとした場合、導入へのハードルはまだまだ高いのが現状だ。

 ソリトンシステムズが2007年5月に行った「ID管理を導入しない理由」に関するアンケート調査を見ると、導入しない理由のトップが「導入コスト」、そして「運用管理コスト」が続き、コスト面での不安が大きな障害となっていることが分かった。

 このほか、「ID管理の知識不足」「ID、パスワードの漏えいリスク」「操作性」「親和性」なども挙がっており、これはID管理の知識・理解不足からくる「難しい・不安」イメージの表れといえる。

 実際にID管理の導入に当たっては、ID管理プロダクトそのものに加え、各種業務システムとの連携、そして全体のシステム構築・コンサルティングを含め、多大な時間とコストがかかり、非常にパワーが必要なプロジェクトとなっている。では、どうやったら、できるだけ簡単にID管理を導入できるようになるのか。

 そのポイントとして、1)IDの体系化、2)各システムとの接続、3)システム構成の3点が挙げられる。

 まず、「IDの体系化」では、IDを管理する前にIDの運用を体系化しておくことで、導入負担を軽減することができる。例えば、「社員番号の付与にルールがない」「ID登録にルールがない」「システムによって部署名などが違う」といった状況では、ID管理の導入にかかわるシステム構築・コンサルティング費用が大きく膨らんでしまうのは当然だろう。

 2つ目の「各システムとの接続」については、連携方法と連携対象を適切に見極めることが重要。人事システムの源泉データと直接接続するのか、CSVを経由するのか。または、源泉データの受取項目として何を選択するのか。さらに、対象システムとの接続では、連携、標準対応、CSVの3つの方法があり、システム連携する場合には開発が必要となり、コストも高くなる。そのため、対象システムに応じた最適な接続方法を選ぶことが、ID管理のコスト削減にもつながってくる。

 最後の「システム構成」では、通常、ID管理システムでは、源泉データから対象システムに関連する情報まですべてのユーザー情報を管理しているが、これではマスターディレクトリのメンテナンス負担が増大するばかりだ。ID管理システム側では、最小限のユーザー情報だけを持って、対象システムにかかわる情報はポリシー化することで、メンテナンス負荷の軽減を図れるとともに、システム構成を最小化してコスト負担も低減できるはずだ。

 内部統制対策とのかかわりとしては、ID管理における監査も欠かせない。ID管理システムの監査では、各システムにどんなユーザー情報が登録されていて、どれだけのアクセスがあるのかをチェックし、各システムの状況を把握することが大きな役割となる。

 具体的なチェックポイントとしては、1)退職者のユーザーIDの削除し忘れはないか、2)ユーザーIDの登録・変更などの記録が残っているか、3)適切な設定およびアクセス権が付与されているのかという3点が挙げられる。

 そして、実際の監査に当たっては、PDCAサイクルに基づいて継続的に監査していくことが重要であり、ポリシー定義を基にID管理を行い、これをチェック&レポートして問題点を適正化し、再びポリシー定義に戻していくというサイクルとなる。

 ソリトンシステムズでは、ID統合管理基盤ソフトウェアとして「ID Admin」を提供しており、現在までに280社以上、80万ライセンス以上の導入実績を持っている。この製品を導入することで、軽快なID管理環境を実現することができる。

 「ID Admin」は、IDマスター、ポリシーマスター、監査エンジン、処理エンジンで構成され、とくに監査エンジンでは、すべてのユーザー情報をチェックし、設定と違っていた場合は自動で適正化する機能を備えている。さらに、監査結果や具体的なエラー個所についてレポートを出力できる機能もあり、内部統制対策支援として有効に活用してもらえるはずだ。

お問い合わせ先:info@soliton.co.jp
当日のプレゼン資料のダウンロードが可能です。
画像をクリックしてください。

セッション2:京セラコミュニケーションシステム
「SOX対策に終わらせない『KCCS内部統制ソリューション』」

●内部統制対策は、“ITシステムありき”で行うものではない

京セラコミュニケーションシステム
ICT事業統括本部 グリーンオフィス事業部 事業部長
小澤浩一氏

 京セラコミュニケーションシステム(KCCS)では、親会社である京セラが米国ニューヨーク証券取引所に上場している関係から、米国SOX法基準での内部統制監査をすでに経験している。

 その経験から、「内部統制において、すべてをITで解決できるのか、しなければならないのか」という疑問を持った。いま、多くの企業は内部統制対策として、業務プロセスの整理や承認記録の管理に始まり、業務アプリケーションの改修などに取り組んでいる。中にはホストコンピュータの追加購入までした企業もあるという。

 米国におけるSOX法対策でも同様の取り組みがなされたが、実際には不備の報告を出さざるを得なかった企業が少なくない。こういった不備の報告事例を研究した結果、「内部統制対策は、ITシステムが中心になって行うものではない」というのがKCCSの考え方だ。

 内部統制対策の中心となるのは、あくまで人間系の判断や考え方であり、社内ルールの設定や日々の業務におけるチェック機能の設置などが重要な課題となる。言い換えると、従業員にミスや罪を犯させない業務プロセスの構築こそが、内部統制に向けて必要な取り組みといえよう。

 ただし、ITシステムが内部統制とまったく関係ないわけではなく、こうした人間系の内部統制対策を支援するために大きな役割を果たすことになる。具体的には、人手では多大なコストが掛かってしまう業務(レポーティング、変更管理、ID管理/アクセス管理など)に、ITシステムの活躍の場があると考えている。

 つまり、人が「人にしかできないところ」や「人が本来やるべきところ」に注力できるようにすることが、内部統制におけるITシステムの果たすべき役割だろう。

 KCCSでは、こうした内部統制をITシステム側から支援するツールやサービスとして、「KCCS内部統制ソリューション」を展開している。今回はその中から、ID管理の構築事例を紹介する。

 まず、ID管理をシステム化するに当たって課題となるのが、1)現在の業務を把握するのが困難であるということだ。そしてすべてのITシステムの基盤となるIDの管理において、2)いかにして内部統制を効かせるのかも考慮しなければならない。そして最後に、3)人が判断しなければならないこと/システムで判断できることの切り分けが大きな課題となる。

 把握困難な現状のID管理業務を追認するのではなく、原理原則に立ち返ることを重視。さらに、組織や役職に応じてアクセス権限など、典型的な業務ルールを定義し、それに従ったID管理を行うことで、ID管理業務のコストは大幅に削減できる。

 また、IDプロビジョニングの自動化だけでなく申請ワークフローとの統合が、転記など手作業によるミスや漏れの対策、権限付与の承認記録の管理として有効だ。単に、内部統制のためだけでなく、“誰がどのシステムを利用できるのか”といった情報の一元管理・見える化もID管理システムの重要な役割といえる。

 そして、ID管理で扱う人や組織の情報は、どうしてもコンピュータシステムだけでは、その正誤の判断が行えない。このことが、ID管理の完全自動化を困難なものにしている。

 当然ながら、データ登録の間違いを管理対象システムにプロビジョニングした後に気付いても手遅れである。ID管理業務あるいはシステムにおいて、可能な限り早い段階で、人によるデータの正誤判断を行えることが、ローコストかつ安全なID管理の実現には必須のテーマとなる。

 KCCSの提供するID管理システム「GreenOffice Directory」では、これらの課題を踏まえ、一般的なID管理製品の提供するプロビジョニング機能に加え、組織や役職などを利用したID付与のルール定義、ID管理に統合された柔軟なワークフロー、ID付与状況のレポート出力、データチェックのための事前準備などの機能を提供している。

 そのバリューは、プロビジョニングの自動化だけではなく、ID管理をほかの業務運用に適合させていける点にある。また、製品提供だけではなく、これまでにKCCSが培ったノウハウをプラスして、ID管理システムの導入・構築支援サービスまで提供できることも大きなメリットといえるだろう。

お問い合わせ先:info@kccs.co.jp
当日のプレゼン資料のダウンロードが可能です。
画像をクリックしてください。

セッション3:ソリトンシステムズ
「内部統制のための情報セキュリティ」

●監査で重要となる“ログの追跡”を簡単に実現できる

ソリトンシステムズ 事業開発本部 プロダクトマーケティング部 主任
大野真理子氏

 ソリトンシステムズでは、内部統制に向けたさまざまなソリューションを提供しているが、その中でも、PCの操作ログ収集・解析を行うツールが「InfoTrace(インフォトレース)」だ。さらに、PCの操作・利用状況を収集・分析・レポートするサービスとして「InfoTrace-OnDemand」を提供している。本セミナーでは、まず「InfoTrace」について大野真理子氏が、続いて「InfoTrace-OnDemand」について高橋修一氏が、各製品の特徴などを説明した。

 ソリトンシステムズの提供する「InfoTrace」は、PC操作のログ収集および解析を行うセキュリティツールで、これまでに多くの導入実績を持っており、業種別では特に金融・製造・証券・保険関連の企業を中心に活用されている。なお、大阪での代表的な導入事例としては、大阪ガスやECCが「InfoTrace」を活用している。

 「InfoTrace」では、クライアントPCにエージェントを組み込むことで、PCの利用を常に記録して、ログサーバに送信。これによって、ファイルの参照、コピー、名前変更、削除といった、あらゆるファイル操作のログを収集できるとともに、印刷状況については、ローカル、ネットワーク、PDF出力まで把握することが可能となる。

 カーネルレベルでログ収集を行うため、アプリケーションのバージョンや、プリンタのメーカー・機種などに依存することなくログを収集できるのもポイントだ。さらに、これに加えて、電源オン/オフ、ウィンドウタイトルといったデスクトップ操作も記録できるようになっている。

 そして、こうした高度なログ収集機能を備える「InfoTrace」の最大の特徴が「トレース機能」だ。これは、情報が漏えいした際に、どういう経路で情報が漏れていったかを追跡できる機能で、いつ、どのデータを、どのような操作で、誰が、どのマシンからコピーしたのかを把握することができる。

 追跡機能としては、「拡散トレース」と「バックトレース」の2種類が用意されており、「拡散トレース」では、サーバ上にあった親ファイルが複数のユーザーからコピー、印刷されるといった拡散状況を追跡することができる。また、「バックトレース」では、ファイル名が変更される場合でも、元の親ファイルをワンクリックで簡単に逆追跡することが可能となっている。

 このほかの機能としては、情報漏えい被害の拡大を防止するアラート通知機能を搭載。また、ICカードを使ったセキュリティ製品「SmartOn」と連携することで個人認証機能を強化することも可能だ。さらに、海外拠点を持つ製造業の顧客企業からの要望に対応し、「InfoTrace」の英語版も用意している。なお、現在シンクライアント対応版も開発中で、まもなくリリースする予定だ。

ソリトンシステムズ カスタマーサービス本部
オンデマンドビジネス部
高橋修一氏
  「InfoTrace-OnDemand」は、InfoTraceのログ収集機能を活用し、ログの分析・レポート・管理を一括で提供するSaaS・ASP型のサービスだ。

 ISMSやPマーク取得など、情報漏えい対策をしていても情報が漏えいしてしまうケースは少なくない。その背景には、情報漏えいの経路を常にチェックできていないという現状があると考えている。

 「InfoTrace-OnDemand」のレポートでチェックできる操作ログは、ソフトウェアの使用状況をはじめ、プリンタ、外部記憶媒体へのコピー、メール、Webブラウザ、メッセンジャ、ファイル転送、ゲームの使用状況など幅広い。レポートでは、それぞれの操作が1日にどれだけ行われたのかをグラフで確認することができ、さらに誰がいつ、どんな操作をしたのかまでを詳細に追跡することができる。

 情報漏えいの経路は、印刷された紙媒体が約40%強を占め、Winny・Share等のP2Pが約20%強、FDなど可搬記憶媒体が約10%弱という調査データがあるが、「InfoTrace-OnDemand」では、これら経路における操作ログをすべてレポートでチェックでき、PCを介したデジタルな情報漏えい経路のすべてを一目で把握する事が可能となる。

 同サービスを導入する際も、ログ管理エージェントをインストールして、再起動するだけで完了するため、例えば今日サービス導入すれば、明日からすぐにレポートをチェックすることができる。ログ管理システムを構築するコスト、手間を省き、短期間でログ管理を始めたい企業にとっては最適のサービスといえよう。

お問い合わせ先:info@soliton.co.jp
当日のプレゼン資料のダウンロードが可能です。
画像をクリックしてください。

セッション4:RSAセキュリティ
「ログ活用による内部統制実現の手法」

●内部統制対策のポイントは、IT全般統制の適切な整備

RSAセキュリティ
マーケティング統括本部 部長
宮園充氏

 RSAセキュリティは、認証技術からアクセス管理、暗号技術、セキュリティ情報管理などまで、幅広いセキュリティ関連製品を取り扱っている。

 ワールドワイドでは、2万7500以上の顧客に採用実績があり、とくに二要素認証の分野においては70%のマーケットシェアをもち、セキュリティ業界のリーディングベンダとなっている。

 現在の企業におけるセキュリティにかかわる課題を見ると、やはり内部統制への取り組みが重要な経営課題になっており、これを実現するためには、IT全般統制を適切に整備していく必要がある。そして、IT全般統制の整備に向けたアプローチとして、「コンプライアンスのためのセキュリティ情報管理」と「認証強化とアクセス管理」の2つが挙げられる。

 まず「認証強化とアクセス管理」のアプローチとしては、認証強化では、重要情報にアクセスできる人間を限定し、特定する必要があるとともに、アクセス権限を持つ人間へのなりすましを防ぐ方法を考えることが求められる。一方、アクセス管理では、重要情報へのアクセスはシステム全体としてコントロールされる必要があり、また、アクセス権を適切に設定し、コントロールすることで重要情報へのアクセスや改ざんを防止することが重要となる。

 RSAセキュリティでは、認証強化に向けたソリューションとして「RSA SecurID」を、アクセス管理に向けたソリューションとして「RSA Access Manager」をそれぞれ提供している。「RSA SecurID」の特徴は、1)認証の都度、有効なパスワードが変化するワンタイムパスワード、2)認証に2つの要素を使用する二要素ユーザー認証、3)認証プロセスにおいて形跡を残さないゼロフットプリントの3点。これにより、確実なユーザー認証を実現する。

 一方、「RSA Access Manager」は、圧倒的な処理パフォーマンスのシングルサインオンソリューションと柔軟なアクセス制御を実現するWebアクセス管理ソリューションだ。複数のWebサーバアプリケーションのID管理アクセス制御を効率化できるほか、シングルサインオンによるユーザビリティの向上、規模に応じたスケーラビリティと高いパフォーマンスを実現することが可能だ。

 IT全般統制の整備に対する2つ目のアプローチ「コンプライアンスのためのセキュリティ情報管理」では、ログ管理が最も重要な要素となる。それは、各システムのログにシステムすべての活動を記録することができるとともに、適切なログ管理によって統制が機能していることを証明できるからである。ただし、ログはシステムごとに管理されているため、ITシステム全体で何が起きているのかを把握するのは難しいのが現状だ。

 そこで、RSAセキュリティが提供しているのが統合ログ管理アプライアンス「RSA enVision」だ。この製品では、さまざまなシステムのログを集中管理し、セキュリティ脅威に対するリアルタイムの監視・対応が図れるとともに、法律・規制・業界ガイドラインなどのコンプライアンス証明に活用することができる。また、ハードウェアとソフトウェア一体型のアプライアンスとして提供するため、容易な導入と活用を可能とし、システム規模に応じたスケーラビリティを提供する。

 活用例としては、「複数システムのログを個別ではなく集中管理」「複数システムのログの相関分析により、緊急度の高い脅威の検知・対応」「特権ユーザー監視によるポリシー違反の発見、または特定ユーザーの行動監視」「特定の法律や規制へのコンプライアンス保証に活用するレポートの自動生成や、セキュリティにかかわるイベントなどのリアルタイム監視」などが挙げられる。

 なお、「RSA enVision」の導入実績については、現在、世界で900以上の顧客を持っており、Fortune10の約半分、グローバルな拠点を持つ大手銀行の4割、米国の3割の大手銀行で活用されている。

お問い合わせ先:info-j@rsa.com
本セッションの関連資料のダウンロードが可能です。
画像をクリックしてください。

提供:株式会社ソリトンシステムズ
京セラコミュニケーションシステム株式会社
RSAセキュリティ株式会社

企画:アイティメディア 営業局
制作:@IT 編集部
掲載内容有効期限:2008年2月14日

イベントレポート インデックス
導入負担を抑えるID統合管理
――ソリトンシステムズ
SOX対策に終わらせない
「KCCS内部統制ソリューション」

――京セラコミュニケーションシステム
内部統制のための情報セキュリティ
――ソリトンシステムズ
ログ活用による内部統制実現の手法
――RSAセキュリティ
ホワイトペーパーダウンロード
ID管理システムの導入ハードルは高い?
今から考える適切なID管理

(ソリトンシステムズ)
内部統制対策に有効なID管理システムの導入はハードルが高い。投資に見合うID管理環境とは?導入負担を抑えるポイントを見ていこう。
システム化=内部統制ではない!
経験から学んだ内部統制実現のコツ

(京セラコミュニケーションシステム)
企業経営のあるべき姿を実現するために、「情報を守る、情報を活かす、そして経営を伸ばす」をコンセプトとするKCCSの内部統制ソリューションを、ID管理の事例も交えて紹介する。
内部統制のための情報セキュリティ対策で最初にすべきこと
(ソリトンシステムズ)
世間には「内部統制」のキーワードがあふれている。一方で、企業は情報漏えい対策もしなくてはならない。内部統制のための情報セキュリティ……一体、何から始めればよいのだろう。まずは、PC利用者の操作ログの収集から始めることを提案する。
ログ管理のベストプラクティスを学ぶ!
(RSAセキュリティ)
セキュリティとコンプライアンスのためにログ管理は必須だ。しかし、企業や環境によって最適なログ管理は異なってくる。自社に合ったベストプラクティスを開発するための心得を伝授する。

ゴールドスポンサー