Top Story 1 (1) | Top Story 1 (2) | Top Story 1 (3) | Top Story 1 (4) | Top Story 1 (5) | Top Story 1 (6) | Top Story 1 (7) |
Top Story 1 (4)
リスクをいかにマネジメントしていくか
安心安全な企業経営を支えるITガバナンス
情報セキュリティガバナンスを強力に推進する
セキュリティアーキテクチャーとセキュリティソリューション
今日の組織・企業においては、情報セキュリティは、企業の社会的責任としてのコンプライアンス対応という観点で再評価されており、情報セキュリティガバナンスの実現に向けた対応が要求されています。この実現を支援するために、富士通では情報セキュリティ対策の有効性と効率性を確保するための技術的な基本方針を文書化した「エンタープライズセキュリティアーキテクチャー(ESA)」をご提供しています。ここでは、「ESA」で記載されているセキュリティ統制を検討する上で必要となるセキュリティ要件の概要をご紹介します。
情報セキュリティガバナンスと「エンタープライズセキュリティアーキテクチャー」
今日の企業においては、ITシステムは業務に不可欠なインフラになっています。しかしその一方で、企業からの個人情報漏洩や社会システムのダウン等、重大なセキュリティ事故も後を絶ちません。このことは、いまなお多くの企業において、セキュリティ対策がいわば「場当たり」的な発想で行われており、投資に対するセキュリティ対策効果が思うように現れていないという現実の状況を示しています。
そこで、従来のように情報セキュリティ対策を後ろ向きの出費とみなし、場当たり的に対応するのではなく、逆に適切な情報セキュリティ対策で、ITシステム及びITインフラを保護することが企業価値の向上につながると考え、信頼性確保のための投資として企業全体で取り組む考え方が提唱されるようになりました。これが「情報セキュリティガバナンス」と呼ばれる概念です。
情報セキュリティガバナンスの目標の一つは、導入している情報セキュリティ対策の効果を客観的に第三者に説明できるようにすることです。
即ち、情報セキュリティ対策の有効性(対策として役に立っているか)と効率性(効果に対して投資が過剰になっていないか)を、株主をはじめとするステークホルダーに説明できることが必要です。
この情報セキュリティガバナンスの確立を支援するものとして、富士通がご提案しているコンセプトが「エンタープライズセキュリティアーキテクチャー(ESA)」です。「ESA」は、企業内における情報セキュリティ対策の技術的な基本方針を明確化する文書です。企業は、情報セキュリティ対策のシステムを構築する場合、あるいは機器を調達する場合に、常に自社の「ESA」への適合性をチェックします。その結果、「ESA」に適合しないシステムや機器を企業内で採用することは認められません。こうすることで、企業内の情報セキュリティは統一的で整合が取れたものになり、セキュリティ投資の有効性と効率性が保証されます。
富士通では、一般的な「ESA」の要件をサンプルとしてまとめた「富士通のエンタープライズセキュリティアーキテクチャー」を富士通Webサイトにて公開しており、無償でご利用いただくことができます。
内部統制の信頼の原点となるIDマネジメント
2006年6月に成立した金融商品取引法により、08年4月1日以後開始する事業年度から、上場企業を対象にした内部統制報告制度が導入されます。これに伴うIT内部統制の一環として、以下のようなセキュリティ面の管理の強化が求められています。
- プラットフォームの特権資格、管理者資格等の特権を統制して管理すること
- IDやアクセス権の権限付与を行う際に申請者と承認者が完全に分離されていること
- 最小限のアクセス権限付与(Least Privilege)が管理されている統制環境になっていること
- 職務が従業員や業務プロセスにおいて論理的に分離されていること(Separation of duties)
今後、企業のIT環境では、このようなセキュリティのコントロール(統制)が重視されるようになっていくと予測されます。ID管理は、このコントロールを強化するための技術手段として欠かせない技術であり注目されています。
利用者が持つ権限を変更する場合は、申請者と承認者、開発者と運用管理者を分離するセキュリティの原則(職務と職責の分離、Separation of duties)を厳格に適用して運用することが非常に重要です。また、データやサービスにアクセスする人は必要最小限に留める原則(最小特権、Least Privilege)を厳守しなければなりません。アクセス権を付与していた利用者が長期間そのサービスを利用しなかった場合には、その利用者のIDの存在が脆弱性とならないように、権限を取り消すように、ID利用状況を監視する仕組みの実装も必要です。さらに、単に複数システムにおいてID情報の同期を図るだけではなく、ID情報の作成、アクセス権限等の属性情報の変更、ID削除といったライフサイクルを統制する環境を確立することが重要です。
[図5]IDマネジメント構築のプロセス
図5は、IDマネジメントシステムを構築する場合のモデルプロセスと、富士通がご提供する支援内容を示したものです。まず企画・設計フェーズでID利用の状況を正確に把握し、IDマネジメントに必要な権限やルールの要件を確定します。続いてIDマネジメントを実現する方式を選択します。例えばLDAP(Lightweight Directory Access Protocol)ベースのID管理ソフトや、プロビジョニングが可能なアイデンティティマネジメントツール等が今日では利用可能です。
構築にあたっては、既存システムや業務アプリケーションと連携するためのアダプターを開発することもあります。そして運用フェーズでは、正しくIDが管理されていることを監査することが求められます。富士通は、これら全てのフェーズを一貫して支援いたします。
安心安全に関連する記事
注目のソリューション
プロダクト&サービス
お客様の課題別ソリューションと最新ニュース、先進導入事例をご紹介します。
ジャーナル最新のテーマ
お客様の声をお聞かせください
富士通ジャーナルに掲載している記事やコンテンツについてのご意見・ご感想を、ぜひお寄せください。
お寄せいただいたご意見・ご感想については、富士通からの回答をお約束するものではありません。ご了承ください。
なお、富士通からのご回答を必要とするお問い合わせについては、
富士通ジャーナルに関するお問い合わせをご利用ください。
