- 2008/12/04 掲載
【セミナーレポート】先輩たちの失敗と成功に学べ!セキュリティ基盤強化の方法
記事をお気に入りリストに登録することができます。
2008年11月26日、品川駅からすぐの場所にある東京コンファレンスセンターにおいて、「なかなか聞けない他社の事例から学ぶ セキュリティ基盤強化実践セミナー」が開催された。RSAセキュリティが主催した本セミナーは今回で2回目。本来は簡単に聞けないセキュリティ対策の具体策を聞けるだけではなく、基調講演ではコンプライアンス対策の考え方と、実施失敗例を紹介。参加者にとって得るものの多いセミナーとなった。
IT統制=IT全般統制+業務処理統制
|
また内部の事情を公開してくれる企業が少なく、他社の手法を学びにくいというセキュリティ対策特有の難しさを指摘し、本講演こそがそうした情報を得られるチャンスだと語った。そして最後に谷垣氏を紹介し、基調講演へと引き継いだ。
山野社長に次いで登壇した谷垣康弘氏は、青山システムコンサルティングで代表取締役 エグゼクティブディレクターを務めている。「失敗例から学ぶ コンプライアンスのためのIT統制」と題して基調講演を行った。
谷垣氏は、自身がコンサルティングを行ってきた経験から見て、監査法人がいつ来ても歓迎できるという企業はまだほとんどないだろうと、語りはじめた。谷垣氏はまず、日本版SOX法のフレームワークについてひととおり紹介。日本版SOX法と本家アメリカのSOX法との大きな違いは、フレームワークに資産の保全とITの利用が明記されていることだという。
ITの利用はさらにIT全般統制と業務処理統制に分類される。ここで重要なことは、IT全般統制はIT担当部門が対応すべき課題だが、業務処理統制はシステム利用部門、つまりエンドユーザー側で対応すべきだということである。日々の業務によりアプリケーションを利用するのはエンドユーザーであり、その使い方が正しくなければ、正しい情報を財務諸表に反映させられないからだ。
IT全般統制と並行し
業務プロセスの標準化を進めよう
業務プロセスの標準化を進めよう
|
IT全般統制の難しさを語るために、ITが普及しはじめた当時の企業のITシステムと現代のITシステムを比較し、それぞれにおいてIT全般統制で求められる項目について示していった。メインフレームを中心とした初期のITシステムにおいてはIT全般統制に関わる部門はIT担当部門だけだった。ホスト集中型でシステム管理が行われ、IT担当部門で一定水準の管理を維持すればいいという状態だったのだ。
それに対して現代の一般的な企業ではITシステムはオープン化され、それぞれの事業部ごとに必要なシステムを構築している。ソフトウェアベンダ、ハードウェアベンダ、システム管理者がそれぞれ異なっていることも少なくない。開発・変更管理はそれぞれのシステム提供ベンダの標準に従わざるを得ず、個別管理を強いられる。アクセス管理もまた、それぞれのソフトウェアの機能により、実現できることが制限されてしまう。運用管理、委託先管理についても各部門で個別に管理され、IT担当部門だけではITシステム全体を管理するどころか、全体像さえ正確に把握できない場合もあるというのが実情だ。これらの管理を再びIT担当部門に集中させるのは、現実的ではない。
谷垣氏はユーザー部門に責任者を置き、管理状況を報告させること、報告に基づいて各システムの運用状況をIT担当部門が監視することなどを盛り込んだIT全般統制の構築計画案を示した。また、アフターJ-SOXとして注目される初回の監査以降の動きにも言及。業務処理統制の面では各支店や営業所の業務フローをすべて書き出し、プロセスの標準化を図っていくことが重要だと述べた。プロセスの数を減らせばそれだけリスクとコントロールを減らせるので、効率的でしかも安全になるという仕組みだ。IT全般統制でも標準化は必要だ。部門最適なシステムではシステムの数だけコントロールが必要なので、仮想化技術を活用したシステムの集中化やシステム自体の統廃合を行い、物理的にも論理的にもサーバの数を減らしていかなければならない。
日本版SOX法への対策について以上のようにポイントをまとめたのち、谷垣氏は事例の紹介へと進んだ。全社システムのバックアップに失敗した例や暗号化対策に不備が発覚した例など、もしも自社で発生したらと思うと冷や汗が出るような事例がいくつも紹介された。谷垣氏は最後に、人的努力とモラルに依存しない身の丈に合ったツールの導入を検討することで、合理的かつ経済的にIT全般統制を実現できると述べ、基調講演を締めくくった。
「情報リスク管理」で守るべき情報を重点的にカバー
|
ここで、情報リスク管理という言葉が紹介された。RSAセキュリティが最近重要だと考えているキーワードで、企業の最重要資産である情報を保護しようという取り組みだ。機器やネットワーク中心ではなく、あくまでも保護すべき情報を中心にセキュリティを考えていくのが特徴だ。保護すべき情報の中でも、ビジネスリスクのより高いもの、わかりやすく表現するなら、脅威にさらされた場合の被害がより大きいものから優先的に対処していく。宮園氏は図を示しながら、そのプロセスを示した。まずセキュリティポリシーを定義し、保護対象となる情報を検出、監視し、ポリシーを執行するためのコントロールを実施し、結果をレポートとしてまとめ、監査を行う。これらのプロセスのほぼ全体にわたってレポート可能なソリューションをRSAセキュリティから提供できるといい、実際に製品群とプロセスをマッチングさせた表を提示した。
同社製品を活用した具体的事例も紹介
|
活用例として次に示されたのは、不正アクセス対策だ。システムが改ざん、破壊されるなど外部からコントロールされてしまうほか、情報漏えいの端緒ともなる危険性がある。重要な情報や特定のシステムへの適切なアクセス制御の実施と、ユーザーのなりすましを防ぐための認証強化が効果的だ。Webアプリケーションの認証強化には、RSA Access Managerが有効だ。シングルサインオンも実現できるので、セキュリティを強化しつつユーザビリティも向上できる。なりすましを防ぐ認証ソリューションに関しては、RSAセキュリティは多くのソリューションを展開しており、今回は3製品が紹介された。そのうちのひとつ、リスクベース認証は日本ではまだなじみが浅いが、アメリカでは多くの企業で採用されている方式。いくつもの要素に照らしてログイン状況をチェックし、本人ではなさそうだと判断されれば秘密のキーワードなど追加の認証を求めるというもの。これらの認証ソリューションにはそれぞれ一長一短があり、部署や環境により適切なものを選択して活用すべきだと、宮園氏は述べた。
活用例の最後として紹介されたのは、コンプライアンス違反への対策だ。コンプライアンス違反を放置すると法令順守を達成できなくなり、社会的な批判や制裁を受けなければならなくなる。コンプライアンス違反に対する対策は簡単ではなく、ITシステム全体を監視、記録し、IT全般統制が機能していることを証明しなければならない。そのためのソリューションがRSA enVisionだ。ネットワーク上のあらゆるイベントのログを収集、統合分析し、必要なレポートを自動生成する。最後に宮園氏は情報リスク管理というキーワードに立ち返り、情報がどこにあり、どのように使われているのか、それをどのように守るのかを考えることが企業のリスク管理につながっていくと述べ、講演を終えた。
事例セッションでは3社の取り組みを紹介
休憩を挟んで後半は各社の事例紹介セッションとなった。事例紹介セッションのトップを飾ったのは、コニカミノルタビジネステクノロジーズの高嶋生也氏。「ビジネスシーンの中核を担うbizhubのグローバル展開を支えるセキュリティ」と題して、同社製品であるデジタル複合機bizhubシリーズに施された情報漏えい対策、不正アクセス対策について語った。続いて登壇したのは、NISグループの平 哲博氏。「内部不正早期発見のための効率的なログ活用と安全なリモートアクセス環境整備」と題して、社内ネットワークの安全性を高めた実例が報告された。「北海学園大学 学内ネットワークの『見える化』推進」と題して最後に事例を紹介してくれたのは、学校法人北海学園の茶畠 浩氏。学内ネットワークのセキュリティを高めるためにRSAセキュリティのソリューションが役立った事例が報告された。
|
いずれも普段はなかなか見せてもらえない“手の内”であり、会場を後にする参加者の顔からも、内容が有意義であったことがうかがえた。
関連タグ
あなたの投稿
PR
PR
PR
