内部統制 いよいよ本番へ! IT全般統制を支援するソリューション
2008年4月より本番年度を迎えた日本版SOX法。前のページでは、内部統制の取り組み状況の調査結果などから、多くの企業が抱えていると思われる不備項目などについて説明しました。このページでは、IT全般統制を支援するソリューションについて、「ID管理」や「証跡管理」を中心にご紹介します。
[連載索引] 内部統制 | IT全般統制不備改善の取り組み | IT全般統制を支援するソリューション | 整備・運用状況を評価し、改善へ | 不備改善の把握に利用シーンレベル全集 | お客様の最良のパートナーに |
富士通がご提供する、豊富なソリューション
セキュリティマネジメントの基本「ID管理」
ID管理はセキュリティの根幹となるものであり、運用管理の中でも最も重要とされる業務のひとつです。富士通のエンタープライズセキュリティアーキテクチャー(ESA)(注1)ではID管理について、以下のような要求事項を提示しています。
- プラットフォームの管理者資格などの特権を統制して管理すること
- IDやアクセス権の権限付与を行う際に、申請者と承認者が完全に分離されていること
- 退職者のIDが残ることのないように運用されていること
- 最小限のアクセス権限付与が管理されている統制環境になっていること
- 職務が従業員や業務プロセスにおいて、論理的に分離されていること
これらの要求事項に対応するためには、
- 異動者や退職者のIDの変更や抹消
- 登録されているIDの棚卸し
- 管理簿との突き合わせ
以上のような作業を人事異動のたびに、もしくは定期的にルーチン化して管理対象となるサーバの数だけ実施する必要があります。仮に利用者200人、サーバが5台であれば、延べ1000IDについて管理することとなります。
さらに、部門や役職によって利用権限を設計し、そのとおりに設定されていることを確認する必要がありますから、管理者の負担は決して小さなものではありません。
統合ID管理
IDを統合的に管理できれば、作業量はサーバ数に依存せず、管理者は効率的で正確な作業をすることにつながります。これを実現する製品は、ディレクトリサービス機能を使ったシングルサインオンシステムによるWindowsサーバの「Active Directory(アクティブ ディレクトリ)やUNIX系サーバの「LDAP Manager(エルダップ マネージャー)」などが該当します。
指紋や手のひら静脈を使ったバイオ認証
バイオ認証装置「Secure Login Box(セキュアログインボックス)」や、非接触型の手のひら静脈認証「PalmSecure(パームセキュア)」は、各種ログインを指紋や手のひら静脈により代行するセキュリティシステムを容易に構築できます。
ID・パスワードによる認証とは異なり、なりすましが不可能になるため確実な認証を実現できます。また、重要施設(サーバルームなど)への入館・入退室への適用も可能で、入室台帳管理などの煩わしい手作業からも開放され、確実な証跡を確保できます。
特権ID管理を強化する「SHieldWARE(シールドウェア)」
「SHieldWARE(シールドウェア)」は、既存のサーバに導入するだけでOSレベルでの厳格なアクセス制御や権限の細分化により、企業内に多数存在するサーバを不正アクセスから守るセキュアOS製品です。
特権IDの権限を細分化することで、管理者の不正を最小限にとどめることが可能になり、特権IDを悪用した不正リスクを軽減できます。さらに、アクセス権及びログの集中管理が可能なため、管理工数を大幅に削減することが可能です。
証跡管理を支援する「Systemwalker Centric Manager(システムウォーカー セントリックマネージャー)」
業務システムの運用においては、特権ID(root権限)を使ったシステム設定の変更や業務処理フローの変更など、さまざまな操作がおこなわれます。これらの操作が正しくおこなわれていることを証明するには、操作の履歴(ログ)に対する評価、つまり、証跡の管理が必要になります。
「Systemwalker Centric Manager(システムウォーカー セントリックマネージャー)」は、GSシリーズからオープンシステム、PCまで、分散した各種のログを安全かつ効率的に収集して、管理サーバ上で一元管理できます。収集したログはその形式を共通の形式に変更(正規化)することで各種のログを横断的に検索できるため、たとえば、ある利用者のさまざまな操作を時系列に確認することが可能です。さらに「Interstage Navigator(インターステージ ナビゲーター)」や「Interstage Data Effector(インターステージ データエフェクター)」と連携することで、運用ルールから外れた操作の抽出ができるため、不正な操作がおこなわれていないかどうかという評価が可能になります。
「Systemwalker Centric Manager」は、これらの証跡管理の機能に加え、システムやネットワークの集中監視、サーバ管理者の役割に応じた操作制限まで可能であり、これらの運用を一元的かつ効率的に実現できます。
PISO(ピソ)を利用したデータベース監査
PISO(ピソ)は、監査証跡となるDBアクセスの記録、警告、追跡調査を可能にするツールです。パスワード有効日数、DBAロール付与ユーザー、ユーザー同時セッション数などの脆弱性リスク管理をおこない、データベースログのモニタリングをおこなうことができます。
また、「Systemwalker Centric Manager」と連携することにより、「Systemwalker Centric Manager」の監視画面でPISOが検出した警告を監視することができます。
規程・手順書テンプレート
多くの企業で、規程や手順書がない、記載内容が不十分である、というような指摘事項が全般的に見られるようです。そもそもシステム運用規程やセキュリティポリシーなどが的確に定められていないと、統制の有効性がゆらいでしまいます。システム規模、情報システム部門の業務内容によって一概には言えませんが、規程や手順書を整備することは必ずしも容易なことではありません。
富士通では、これまで取り組んできた社内実践とお客様への支援経験にもとづき、約170種類の規程・手順書・書式などを用意しております。これらを参考に、より効率的に規程文書や手順書のドキュメント整備を進めていただくことができます。
そのほかにも、多数のソリューションがありますが、残念ながら、ここで紹介しきれません。内部統制強化支援ソリューションとして、富士通独自の審査基準を満たしたソリューションには、お客様が不備改善のITソリューションを選定する目安となる「Internal Eyes」という推奨マークをつけて、提供しています。
用語解説
- (注1)富士通のエンタープライズセキュリティアーキテクチャー(ESA)
- 富士通が、一般的な企業に必要となるセキュリティ要件の共通要素を分析、整理し、サンプルとしてまとめたドキュメントです。
- (注2)「Internal Eyes(インターナル アイズ)」
- 内部統制の整備に求められる要件をベースに、当社の実践経験やお客様の支援経験から得られたノウハウに基づいて策定した、富士通独自の審査基準です。
整備・運用状況の評価、不備改善のポイントは?[2008年5月1日 公開]
-
IT全般統制を支援するソリューション
ジャーナル最新のテーマ
お客様の声をお聞かせください
富士通ジャーナルに掲載している記事やコンテンツについてのご意見・ご感想を、ぜひお寄せください。
お寄せいただいたご意見・ご感想については、富士通からの回答をお約束するものではありません。ご了承ください。
なお、富士通からのご回答を必要とするお問い合わせについては、
富士通ジャーナルに関するお問い合わせをご利用ください。
