• 2008/08/05 掲載

認証、アクセス管理、ログ管理、RSAの3種の神器で実現するIT統制の現実解【IT統制実践セミナー】

2008年7月23日開催 「なかなか聞けない他社の事例から学ぶ IT統制実践セミナー」レポート

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
日本版SOX法をはじめ、昨今の企業が対応すべき法律・規制・ガイドラインは広範に渡る。こうしたコンプライアンスを実現するには、効果的なIT統制を実現しなければならない。7月23日に東京・六本木の東京ミッドタウンで行われた「なかなか聞けない他社の事例から学ぶ IT統制実践セミナー」では、IT統制を支えるセキュリティ基盤の構築を、「認証」「アクセス管理」「ログ管理」の3つのポイントから読み解くとともに、さまざまな実践導入事例が紹介された。

企業におけるSOCの必要性


アクセンチュア
システムインテグレーション&テクノロジー本部
インフラストラクチャ
コンサルティンググループ統括パートナー
森泰成氏
 まず、基調講演としてアクセンチュアの森泰成氏が「企業におけるセキュリティオペレーションセンター(SOC)の展望」と題したテーマで登壇した。最近、企業内で情報セキュリティに関わるITシステム構築が積極的に進められている。森氏は、ただシステムを構築すればよいというものではなく、きちんと運用していくことが重要であると指摘。セキュリティのPDCAサイクルをまわすことで、管理の仕組みを継続的に改善し、セキュリティインシデントに強い組織へ最適化していく必要がある。森氏は「このような戦略を実現する体制としてSOC(Securiy Operation Center)を確立すべき」と説く。情報セキュリティオペレーションに求められるものは、ガバナンス(の仕組み)や人、テクノロジーなどさまざまな要素がある。特にテクノロジー面では、ID管理基盤の整備や、ログマネジメントの最適化、インシデント対応のシステム化が重要だ。

 きちんとセキュリティ対策を実施していても、インシデントが発生することもある。そうした場合の対応のコツが、「迅速・誠実・具体的」である。さらに再発防止策として、ルールの改善、啓蒙活動、ツールの導入などを検討することも必要だ。ただし、ルールの変更は厳しすぎず、セキュリティリスク、利便性、コストのバランスから考える。これも時代とともに変化するため、継続的に見直すべきだという。このような防止策と同時にログイベントマネジメントも進める。ここでは、さまざまなシステムの膨大なイベントやログから因果関係をとらえて分析することが重要だ。そこで森氏は、SIEM(Security Information & Event Management)ソリューションの導入を推奨している。ログ統合と集中管理が可能になり、監視効果・効率性の向上、コンプライアンスの遵守、セキュリティ機能の拡張が期待できるという。

ニコンのワールドワイドでの取り組み支えるSSO導入事例


ニコン
インターネットビジネス推進部
マーケティングマネージャ
川浪隆司氏

ニコンシステム
第三システム本部
第四開発部
部長
青木大介氏
 森氏の基調講演に続いて登壇したのはニコンの川浪隆司氏とニコンシステムの青木大介氏だ。この講演は、RSAのSSO(シングルサインオン)製品の導入によって、ニコンのカメラユーザー向けポータルサイト「my Picturetown」でのアクセス管理を実現した事例紹介。my Picturetownは、カメラのデジタル化により飛躍的に撮影枚数が増えた現状を受け、同社が最適な写真の保管場所を提供すべく開始したサービスである。直感的操作と簡単なアップロード、RAWデータへの対応、アルバムの分類・整理、スライドショー、アルバムシェアなどの機能を備え、2GBのスペースが無料で使える。また、大容量の有料サービスもあり、この課金においてSSOの仕組みを検討した。

 ニコンシステムの青木大介氏は、課金の認証基盤構築時の要件について言及。my Picturetownは、ニコン初のグローバルサービスで、課金については各国の法体系に則ってシステムを構築した。そのため、バックエンドは複数のシステムにまたがる。これらのログイン認証において、あたかも1つのサイトでサービスを受けられる環境が必要だった。

 そうした中、各国の決済システムとの安全で確実な連携を目指すうえで選んだのが大規模なB2Cでの実績があるWebアクセス制御製品「RSA Access Manager」である。導入後は性能も課金システムとの連携でも満足しているという。今後は会員数の増加による性能の影響への対処と、セキュリティレベルの維持が課題だという。

多層型認証強化ソリューションで、リスクに応じたセキュリティを


RSAセキュリティ
エンタープライズ営業本部
オンラインセキュリティ営業部
シニアセールスマネージャー
三井 智博氏
 次のセッションでは、RSAセキュリティの三井智博氏が、金融インターネットサービスにおける同社製品の採用例を紹介。高度化するオンライン犯罪に対し、ネットでサービスを展開する企業は、顧客を脅威から守る必要がある。世界的にフィッシングサイトが急増し、被害も広がっているが、このようなサイトからIDとパスワードが盗まれて不正アクセスが行われるケースも多い。

 そこでRSAセキュリティでは、フィッシングサイトの高速シャットダウンサービス「RSA FraudAction」と、多層型の認証強化ソリューション「RSA Adaptive Authentication for Web」を提供。これらはオンライン犯罪対抗ネットワークとつながり、重要情報を世界レベルで共有している。

 RSA FraudActionは、同社の不正対策センターで報告を受けたサイトを5時間以内にシャットダウンできるサービス。最近はフィッシングサイトの検知サービスも開始したという。一方、RSA Adaptive Authentication for Webは、セキュリティとユーザービリティの両立を考えたサービスだ。リスクベース認証、ユーザーによるサイト認証、OTP(ワンタイムパスワード)認証をリスクに応じて柔軟に提供する。三井氏は、みずほ銀行やマネックス証券の事例を紹介。またOTPとして「RSA SecurID」を採用したジャパンネット銀行や、OTP認証のASPサービス、OTP認証と社内システムの連携などについても触れた。

Identity & Access管理を中心としたマイクロソフトの情報保護のアプローチ


マイクロソフト
サーバープラットフォーム
ビジネス本部
Windows Server製品部
プロダクトマネージャ
田中啓之氏
 「ITインフラ最適化のためのID管理基盤」をテーマに特別講演を行ったのは、マイクロソフトの田中啓之氏だ。マイクロソフトでは、ITインフラの最適化を実施するうえで、ITレベルを「基本」「標準」「合理化」「動的」の4段階に分けて考えており、今後はITを動的に使って運用管理コストを抑え、いかに新規ビジネスをドライブするかという点が重要になるという。それに対してマイクロソフトでは5分野にまたがるコア・インフラ製品を用意しているが、今回はこれらのうち、Identity & Access管理 (IDA)を中心とした情報保護のアプローチについて紹介した。

 同社では、Windows Server 2008の「Active Directory」(AD)サービスによって、IDAに関連する各種サービスを連携させる方向を打ち出している。ADサービスを基盤とする情報保護機能としては、ファイルの作成から受け渡しまでは暗号化を行い、ファイル受け渡し後は「Active Directory Rights Management」(AD RMS)サービスによってデータ利用の制限を提案。これにより未権限ユーザーの印刷を禁止したり、メール転送を禁止したり、書類の有効期限を設定して、社外での機密情報の流通を食い止められる。

 その一方で、ID管理に関しては「Identity Lifecycle Manager 2007」(ILM2007)で、ユーザーアカウントのライフサイクルを自動的に管理しようという考えだ。ILM2007には、ID同期・ユーザープロビジョニング機能と、証明書・スマートカードに管理機能があり、ID/証明書の統合管理環境を実現できる。まもなく新バージョンのILM2(RC版)も登場する予定だという。最後に田中氏は、ADやILMとの連携として、RSA Access Managerを利用したSSO環境とクライアントの二要素認証の構成についても言及した。

RSA製品で実現した自治体における強固なWindowsログオンとSSO環境


RSAセキュリティ
大阪営業所システムエンジニア
梅木和年氏
 マイクロソフトの田中氏による前セッションを受けて登壇したのがRSAセキュリティの梅木和年氏だ。「Windowsログオンから始めるセキュリティ強化」をテーマに、某自治体のセキュリティ基盤の構築事例について解説した。この自治体ではAD認証を導入していたが、Windowsパスワードポリシーの遵守が不十分で、WebアプリケーションのSSO環境もないという課題を抱えていた。

 そこで梅木氏は、強固なWindowsログオンとSSO環境によるセキュリティ基盤の構築を提案したという。具体的にはユーザー認証にRSA SecurID、アクセス管理にRSA Access Managerを採用。さらに将来に向け、外部機関との連携を可能にするドメイン連携(SAML2.0)も考慮した。これらの施策により、認証強度の大幅な向上と、Windowsログオン認証後のSSOが可能になり、Webアプリケーションの利便性も高まったという。

リスクマネジメントとして注目を浴びるログ統合管理基盤


住商情報システム
IT基盤ソリューション事業部
基盤インテグレーション第3部
セキュリティソリューション第1チーム
課長 石川光春氏
 最後のセッションでは、住商情報システムの石川光春氏が、リスクマネジメントとして注目を浴びるログ統合管理基盤の実現に向けたポイントを解説。同社は、2002年よりログ統合管理基盤の構築を手がけてきた。石川氏は、定期的なモニタリングにおけるログ管理の重要性を説くとともに、コンプライアンスやセキュリティオペレーションを自動化する共通基盤として、統合ログ管理アプライアンス「RSA enVision」が有効であると強調。

 さらに国内導入事例として、ある流通事業者の動向をピックアップ。2008年上期まではフェーズ1として日本版SOX法対策の一環で経理システムのログ管理などに対応し、現在稼働中だという。2008年下期からは「無理なく実現できるレベル」から運用・体勢を整備していく方針のもと、情報漏えい対策を実施していくという。本事例におけるPDCAに基づく運用フローなども合わせて紹介した。


 セミナー自体は、IT統制をテーマに事例を数多く取り上げたこともあり、来場者の関心が極めて高く、一時立ち見が出るほどの盛況ぶりだった。

なかなか聞けない他社の事例から学ぶ IT統制実践セミナー
東京・六本木の東京ミッドタウンで行われた
「なかなか聞けない他社の事例から学ぶ IT統制実践セミナー」。
会場は来場者で埋め尽くされた

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます