【セミナーレポート】先輩たちの失敗と成功に学べ！セキュリティ基盤強化の方法

RSAセキュリティ 代表取締役社長 山野 修氏

　基調講演に先立ち、RSAセキュリティ 代表取締役社長である山野 修氏から挨拶があった。参加者の多くが企業のIT担当者ということもあり、日本版SOX法への対応や日々のリスク管理業務の大変さを挙げ、日頃の過酷な業務を労った。

　また内部の事情を公開してくれる企業が少なく、他社の手法を学びにくいというセキュリティ対策特有の難しさを指摘し、本講演こそがそうした情報を得られるチャンスだと語った。そして最後に谷垣氏を紹介し、基調講演へと引き継いだ。

　山野社長に次いで登壇した谷垣康弘氏は、青山システムコンサルティングで代表取締役 エグゼクティブディレクターを務めている。「失敗例から学ぶ コンプライアンスのためのIT統制」と題して基調講演を行った。

　谷垣氏は、自身がコンサルティングを行ってきた経験から見て、監査法人がいつ来ても歓迎できるという企業はまだほとんどないだろうと、語りはじめた。谷垣氏はまず、日本版SOX法のフレームワークについてひととおり紹介。日本版SOX法と本家アメリカのSOX法との大きな違いは、フレームワークに資産の保全とITの利用が明記されていることだという。

　ITの利用はさらにIT全般統制と業務処理統制に分類される。ここで重要なことは、IT全般統制はIT担当部門が対応すべき課題だが、業務処理統制はシステム利用部門、つまりエンドユーザー側で対応すべきだということである。日々の業務によりアプリケーションを利用するのはエンドユーザーであり、その使い方が正しくなければ、正しい情報を財務諸表に反映させられないからだ。

青山システムコンサルティング 代表取締役 エグゼクティブディレクター 谷垣康弘氏

　谷垣氏は続いて、IT全般統制の話に踏み込んでいった。IT全般統制に必要な項目についてそれぞれ簡単に説明し、委託先管理は日本では甘くなりがちだと指摘。これまでは自社が納得できればよかったのでそれでも問題はなかったが、今後はアウトソース先の管理をルールに基づいて実行していることを、対外的に示さなければならない。そのためには、SLA（Service Level Agreement）を取り入れていくなど委託先管理を実証できる材料を作っていく必要がある。SLAとは契約に盛り込まれるサービスレベルの数値指標だ。アメリカでは一般化しているが、日本にはあまり浸透していない。

　IT全般統制の難しさを語るために、ITが普及しはじめた当時の企業のITシステムと現代のITシステムを比較し、それぞれにおいてIT全般統制で求められる項目について示していった。メインフレームを中心とした初期のITシステムにおいてはIT全般統制に関わる部門はIT担当部門だけだった。ホスト集中型でシステム管理が行われ、IT担当部門で一定水準の管理を維持すればいいという状態だったのだ。

　それに対して現代の一般的な企業ではITシステムはオープン化され、それぞれの事業部ごとに必要なシステムを構築している。ソフトウェアベンダ、ハードウェアベンダ、システム管理者がそれぞれ異なっていることも少なくない。開発・変更管理はそれぞれのシステム提供ベンダの標準に従わざるを得ず、個別管理を強いられる。アクセス管理もまた、それぞれのソフトウェアの機能により、実現できることが制限されてしまう。運用管理、委託先管理についても各部門で個別に管理され、IT担当部門だけではITシステム全体を管理するどころか、全体像さえ正確に把握できない場合もあるというのが実情だ。これらの管理を再びIT担当部門に集中させるのは、現実的ではない。

　谷垣氏はユーザー部門に責任者を置き、管理状況を報告させること、報告に基づいて各システムの運用状況をIT担当部門が監視することなどを盛り込んだIT全般統制の構築計画案を示した。また、アフターJ-SOXとして注目される初回の監査以降の動きにも言及。業務処理統制の面では各支店や営業所の業務フローをすべて書き出し、プロセスの標準化を図っていくことが重要だと述べた。プロセスの数を減らせばそれだけリスクとコントロールを減らせるので、効率的でしかも安全になるという仕組みだ。IT全般統制でも標準化は必要だ。部門最適なシステムではシステムの数だけコントロールが必要なので、仮想化技術を活用したシステムの集中化やシステム自体の統廃合を行い、物理的にも論理的にもサーバの数を減らしていかなければならない。

　日本版SOX法への対策について以上のようにポイントをまとめたのち、谷垣氏は事例の紹介へと進んだ。全社システムのバックアップに失敗した例や暗号化対策に不備が発覚した例など、もしも自社で発生したらと思うと冷や汗が出るような事例がいくつも紹介された。谷垣氏は最後に、人的努力とモラルに依存しない身の丈に合ったツールの導入を検討することで、合理的かつ経済的にIT全般統制を実現できると述べ、基調講演を締めくくった。

RSAセキュリティ マーケティング統括本部 本部長 宮園 充氏

　続いて「RSAセキュリティが提案する情報セキュリティ基盤の実現」と題する講演を行ったのは、、RSAセキュリティ マーケティング統括本部の宮園 充氏だ。宮園氏はまずRSAセキュリティの全世界での実績を簡単に紹介したのち、企業のセキュリティ対策の実情について解説を始めた。中堅中小企業では、セキュリティはビジネス成長を阻害する要因ととらえられており、積極的な投資対象になっていない。宮園氏はその理由として、明確な効果が期待できないこと、コストがかかりすぎることなどを挙げ、問題が発生したら対応するというリアクティブな対策がメインとなっているためだと説明した。一部の問題のみを解決するのではなく、一体的なアプローチによってビジネスの成長を助け、より効果を見込めるセキュリティを実践できるという。

　ここで、情報リスク管理という言葉が紹介された。RSAセキュリティが最近重要だと考えているキーワードで、企業の最重要資産である情報を保護しようという取り組みだ。機器やネットワーク中心ではなく、あくまでも保護すべき情報を中心にセキュリティを考えていくのが特徴だ。保護すべき情報の中でも、ビジネスリスクのより高いもの、わかりやすく表現するなら、脅威にさらされた場合の被害がより大きいものから優先的に対処していく。宮園氏は図を示しながら、そのプロセスを示した。まずセキュリティポリシーを定義し、保護対象となる情報を検出、監視し、ポリシーを執行するためのコントロールを実施し、結果をレポートとしてまとめ、監査を行う。これらのプロセスのほぼ全体にわたってレポート可能なソリューションをRSAセキュリティから提供できるといい、実際に製品群とプロセスをマッチングさせた表を提示した。

セミナー当日の会場の様子。日頃 知ることのできない他社のセキュリティ事例に、 大勢の受講者が耳を傾けた

　宮園氏は続けて、具体的なソリューション活用例の提示へと進んだ。最初に示されたのは、情報漏えい対策における情報リスク管理の例だ。知的財産情報が漏えいした場合には企業に直接的な被害をおよぼし、個人情報などの機密情報が漏えいした場合には信用被害が発生する。対策の例としては、暗号化による情報自体の保護と、アクセス経路のコントロールがある。情報自体を保護するための暗号化ソリューションとしては、暗号化アルゴリズムやデジタル証明書管理機能、また暗号通信機能を組み込むための各種ライブラリ群が紹介された。これらを組み合わせることでWebアプリケーションを強化し、本社－支社間で安全に情報を受け渡せるようになる。

　活用例として次に示されたのは、不正アクセス対策だ。システムが改ざん、破壊されるなど外部からコントロールされてしまうほか、情報漏えいの端緒ともなる危険性がある。重要な情報や特定のシステムへの適切なアクセス制御の実施と、ユーザーのなりすましを防ぐための認証強化が効果的だ。Webアプリケーションの認証強化には、RSA Access Managerが有効だ。シングルサインオンも実現できるので、セキュリティを強化しつつユーザビリティも向上できる。なりすましを防ぐ認証ソリューションに関しては、RSAセキュリティは多くのソリューションを展開しており、今回は3製品が紹介された。そのうちのひとつ、リスクベース認証は日本ではまだなじみが浅いが、アメリカでは多くの企業で採用されている方式。いくつもの要素に照らしてログイン状況をチェックし、本人ではなさそうだと判断されれば秘密のキーワードなど追加の認証を求めるというもの。これらの認証ソリューションにはそれぞれ一長一短があり、部署や環境により適切なものを選択して活用すべきだと、宮園氏は述べた。

　活用例の最後として紹介されたのは、コンプライアンス違反への対策だ。コンプライアンス違反を放置すると法令順守を達成できなくなり、社会的な批判や制裁を受けなければならなくなる。コンプライアンス違反に対する対策は簡単ではなく、ITシステム全体を監視、記録し、IT全般統制が機能していることを証明しなければならない。そのためのソリューションがRSA enVisionだ。ネットワーク上のあらゆるイベントのログを収集、統合分析し、必要なレポートを自動生成する。最後に宮園氏は情報リスク管理というキーワードに立ち返り、情報がどこにあり、どのように使われているのか、それをどのように守るのかを考えることが企業のリスク管理につながっていくと述べ、講演を終えた。



　休憩を挟んで後半は各社の事例紹介セッションとなった。事例紹介セッションのトップを飾ったのは、コニカミノルタビジネステクノロジーズの高嶋生也氏。「ビジネスシーンの中核を担うbizhubのグローバル展開を支えるセキュリティ」と題して、同社製品であるデジタル複合機bizhubシリーズに施された情報漏えい対策、不正アクセス対策について語った。続いて登壇したのは、NISグループの平 哲博氏。「内部不正早期発見のための効率的なログ活用と安全なリモートアクセス環境整備」と題して、社内ネットワークの安全性を高めた実例が報告された。「北海学園大学 学内ネットワークの『見える化』推進」と題して最後に事例を紹介してくれたのは、学校法人北海学園の茶畠 浩氏。学内ネットワークのセキュリティを高めるためにRSAセキュリティのソリューションが役立った事例が報告された。

左より、コニカミノルタビジネステクノロジーズ 営業本部 第一商品企画部 ソリューショングループ長 高嶋生也氏、 NISグループ システム企画部長 平 哲博氏、 北海学園 管財部 施設課 課長 茶畠 浩氏

　いずれも普段はなかなか見せてもらえない“手の内”であり、会場を後にする参加者の顔からも、内容が有意義であったことがうかがえた。