TOPサーバ構築・運用> 日本版SOX法遵守にあたって
検疫LAN/VPN
企業ネットワーク防御最前線〜検疫LAN/VPNでセキュリティ向上を目指せ!〜

第5回:企業ネットワークにおけるIT資産管理
著者:NTTデータ先端技術  大西 壮輝   2007/1/25
前のページ  1  2   3  次のページ
日本版SOX法遵守にあたって

   企業を取り巻く環境が変化してきている今、日本版SOX法を考えた場合にIT資産管理業務は大きく変化し、その管理がおよぶ範囲が広がる。単に「IT資産の管理」ではなく、内部統制の理念である「企業活動に必要なIT資源をITシステムを利用して効率的に把握する」ことや「把握状況を随時監視し、問題ない状態(公正さ、透明さ)を維持すること」が求められてくる。

   さらに資産調達における会計面での不正や資産の除去などの管理に問題がないことや、ソフトの不正コピーが行われていないか、セキュリティ問題からの情報漏洩を防止できているかなど、様々な監視を正式な運用担当者を任命して対応することが義務づけられてくる。

   次の図2で水色の部分が、実際に日本版SOX法における主要項目の中で資産管理として対象となっている。
日本版SOX法の中でのIT資産管理業務の位置づけ
図2:日本版SOX法の中でのIT資産管理業務の位置づけ
(画像をクリックすると別ウィンドウに拡大図を表示します)

   本連載ではこれまでにも、日本版SOX法の中でIT統制強化には様々な対応が必要になるという話題を取りあげ、「情報漏洩のリスク対策」として脆弱性を有する端末のチェックおよび認証管理を行うため、LAN検疫ソリューションやVPN検疫ソリューションが必要であることを説明した。

   このIT統制を強化する基盤の要素として「IT資産管理におけるリスク対策」という対応も求められてくる。これは、企業が所有するIT資産を効率的に管理できていることやその管理方法にリスクがないか、リスクがある場合の対応策が準備できているかなど「資産の保全」と「強制的な定常的運用」という要素が含まれてくる。

   今後、IT技術を使って組織活動の効率化を促進して生産性を向上させ、日本版SOX法を遵守していくためには、様々な情報データを対象とした企業活動プロセスにおいて次の図3のような管理領域における、それぞれの達成レベルを把握することが重要である。

資産管理領域とそのレベル
図3:資産管理領域とそのレベル
(画像をクリックすると別ウィンドウに拡大図を表示します)

   そして現状の達成レベルの把握から次のステップへとカイゼンしていくことが王道である。
ログ監視の重要性

   これまでは主に日本版SOX法の対応などを意識して「対応すべき項目に対して企業が取るアクション」を中心に説明してきた。これらは企業活動のうち「事前対策」や「事中対策」の内容である。

   しかし忘れてならないのが「事後対策」である。様々な企業活動のエビデンスを管理するということも重要であり、図2の通り日本版SOX法の遵守ポイントにも含まれている。

   近い将来、ログ文化の変化が起こるかもしれない。つまり、今までのログという概念では対応しきれない、もしくは満足いかないレベルの情報の記録が企業として求められるようになる、ということである。

   現在のログには以下のような問題点がある。

  • ログを意図的に収集しなければログがでない
  • ログがでてもサーバ管理者の一部の高度なスキルの人間にしか利用できない
  • 利用価値のないログのみで、必要なログがだせない
  • ログが散在し、一連のプロセスを通したログがない
  • ログ容量が肥大化する
  • ログを取得すると端末/サービスのパフォーマンスが落ちるので取得しない

表2:現在のログの問題点

   内部統制を強化するにあたってポイントとなるのは「各業務処理(アプリケーション)の監査証跡(ログ)を正しく保存・管理すること」と「システムのアクセスから終了まで、プロセス一連のログを管理する」ということがIT全般統制で求められるログとなる。

  • システムのアカウント割り当てや作業ログ
  • システムのID認証ログ
  • システムへのアクセスログ
  • システムログの異常を検知し、トレースできること
  • モラルに頼らないフォレンジックが取り入れられていること
  • 一元管理されていること
  • ログデータの管理方法が確立していること

表3:IT全般統制で求められるログ

   フォレンジックとはデジタルデータを対象として、ログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めることを意味する。主に「コンピュータフォレンジック」や「デジタルフォレンジック」「ネットワークフォレンジック」などで利用されている。
前のページ  1  2   3  次のページ

NTTデータ先端技術株式会社 大西 壮輝
 著者プロフィール
NTTデータ先端技術株式会社
EA事業本部 NOSiDEビジネスユニット  大西 壮輝
京都大学大学院情報学修了後、NTTデータに入社。基盤開発フレームワーク作成を経験。現在ではNTTデータ先端技術に出向し、パッケージ(NOSiDE Inventory SubSystem)のプロダクトマネージャーとして従事。特にセキュリティのコンサルティングやIT資産管理、LAN検疫/VPN検疫などに注力。チーフコンサルタント。
INDEX
第5回:企業ネットワークにおけるIT資産管理
  企業ネットワークのIT資産を管理
日本版SOX法遵守にあたって
  フォレンジックの活用