@IT情報マネジメント編集部主催の「来て」「見て」「試して」内部統制対策ショーケースが、2008年2月28日に東京・青山ダイヤモンドホールで開催された。
日本版SOX法の適用が4月に迫るなか、“いまからでも間に合う”具体的な対策方法を紹介するため、製品のデモンストレーションを中心に、イメージしやすいセッションが多数行われた。
基調講演では、ベストセラー「なぜ会社は変われないのか」の著者である柴田昌治氏が内部統制の本質とその対策について語り、「内部統制対策を成功させるには、当事者意識を持つことが重要だ」と指摘した。
基調講演後はAトラックとBトラックに分かれ、内部統制を成功に導くためのさまざまなツール・ソリューションが各セッションで披露された。ここでは、Bトラックで行われた5つのセッション内容を紹介する。
| イベントレポート インデックス ―― Bトラック | |
 |
「システム開発・変更案件管理の統制強化と業務の効率化を図る」 ――日立情報システムズ |
|
|
「ログ統合・証跡管理SaaS【Log Shelter】」 ――JIEC |
|
「セキュリティポリシーに基づく監査プロセスの重要性」 ――シマンテック |
|
「メールコンプライアンスを支援するアーカイブソリューション」 ――シマンテック |
|
「IT統制を実現するAD、GP、PC管理ソリューション」 ――NetIQ |
 Aトラックのイベントリポートへ
|
 |
セッション1:日立情報システムズ |
●日立情報システムズ自身のSOX法への取り組みを踏まえて製品化したサポートツール
 |
| 日立情報システムズ 主管技師長 西雅幸氏 |
日立情報システムズでは、IT全般統制の支援サービスを2007年9月から提供。実施計画の策定、規定作成支援から運用状況評価までをトータルでカバーし、業務統制支援と併せて、重複・漏れのない内部統制の構築を支援している。
現在、このサービスの上流工程に当たるシステム開発・変更案件管理をサポートするツールとして「PROCESS Audit」を新たに開発。2008年4月にリリースする予定だ。
「PROCESS Audit」は、実際に日立情報システムズが社内で米国SOX法対策に取り組んできた経験や課題を踏まえて製品化したもの。システム開発・変更案件管理を手作業で実施した場合、IT部門にとっては、作業案件管理・作業管理、書類の承認・決裁、台帳管理といった日常業務、さらには事前準備、受査対応などの監査対応業務において作業負担が大幅に増加する。これに対し、同社では独自でシステム変更管理のIT化を図り、このノウハウなどを「PROCESS Audit」としてパッケージ化した。
主な機能としては、「依頼案件管理」「障害報告管理」「システム資産管理」の3つを提供する。
「依頼案件管理」では、各種依頼票をWeb画面から登録し、ワークフロー決裁、承認証跡管理などにより案件管理の統制を強化。「障害報告管理」では、障害発生時の対応の経緯を可視化し、進ちょく管理することで対応漏れを防止する。「システム資産管理」については、確実かつ的確な情報資産管理を実現するため、サーバ、システム、保守作業それぞれで詳細な情報管理が行えるようにしている。このほか、オプションで「作業時間管理」機能も用意している。
さらにリソース管理とライセンス管理の連携推奨システムを導入することで、IT化業務と業務間のシームレスな連携を実現することができる。
「PROCESS Audit」を導入することで量的効果として、対象となる管理工数の約30%削減が期待できる。また、質的効果では、IT統制に対応したIT部門運営の効率化、確実化、さらには監査対応の効率化、円滑化を図ることができる。
日立情報システムズ 日立グループサービス事業部 主管技師長の西雅幸氏は、「日本版SOX法の施行を前に、IT全般統制にかかわる業務効率化に役立つツールとして、ぜひ活用してほしい」と強調した。
|
セッション2:JIEC |
●導入と運用の双方でメリット! SaaSでログ管理・活用という選択
 |
|
JIEC SaaS事業推進グループ 高橋広宣氏 |
内部統制におけるIT活用にあたって、ログの管理・活用は欠かすことはできない。しかし、日本版SOX法の施行を前に、いま多くの企業は「いったいどんなログをとればいいのか」という課題に悩んでいる。
ログを取得し活用することで、発見統制と予防統制、そして改善までを行うことができる。
その際、最初からすべてを求めようと思わずに、目的に合ったログの活用方法を考えることが大切だ。具体的には、日本版SOX法の内部統制フレームワークにおける目的を参考に、自社の現段階での内部統制の目的を定義し、その目的に沿ってログの活用方法を整理することで、取得すべきログの範囲も自ずと決まってくるはずだ。特に、これからログ活用を始めようという企業は、まずデータに一番近いサーバ OSのログから取得することを推奨する。
そして、取得すべきログの対象範囲を明確化した後の課題として、「取得したログをどう活用すればよいのか」という点だ。この課題を解決するための有効的な手段として、JIECではログ統合・証跡管理サービス「Log Shelter」を提供している。
「Log Shelter」は、ログ管理に必要なシステム機能を、ネットワーク経由で提供するSaaSモデルを採用したことが大きな特徴だ。これによって、申し込みからログ収集開始まで最短2週間という短期間で導入することが可能となる。さらに、機器調達やシステム構築が不要となるため初期コストの抑制を図れるだけでなく、機能追加や保管ログ追加対応等を含めた運用面におけるリソース(コスト、人員)の負荷削減に貢献できるのも大きなメリットだ。
SaaSの利用に対してはセキュリティ上の懸念事項が考えられるが、「Log Shelter」では、高品質のSaaS基盤による高信頼性サービスを提供するとともに、契約者向け専用ポータルサイトでの情報提供などによって、充実したサポート・保証体制を整えている。また、サーバアクセスレポートや特権コマンドレポート、ユーザー管理レポートなど、導入してすぐに利用可能な、内部統制対応の定型レポートも出力することができる点も特徴だ。
高橋広宣氏は、「ログ活用のシステム構築が急務となっている企業の方だけでなく、今後の継続的な運用について懸念されている企業の方にも、「Log Shelter」の導入を検討していただきたい」と締めくくった。
お問い合わせ先:[email protected] |
| 【ホワイトペーパー】 内部統制の目的に沿ったログ管理・活用とは何か? 内部統制の目的に合わせて、どのようにログ管理・活用を行えばよいのか? 内部統 制関連法令/基準に照らし合わせ、「対応すべき最低限のログ」と「その活用法」に ついて解説する。 |
 |
|
セッション3:シマンテック |
●セキュリティポリシーによる監査を自動化できるソリューションを提供
 |
| シマンテック プロダクトマーケティングマネージャ 金野隆氏 |
法規制への対応、情報漏えい・不正アクセス対策など、企業のセキュリティレベル向上のためには、ITポリシーコンプライアンス体制の確立が大きな課題になっている。
ITポリシーコンプライアンスとは、IT利用ポリシーを明確に定め、それを順守することだ。これにより、ITを活用してリスクを管理し、不正や事故の発生を抑止することができる。
実際にITポリシーコンプライアンス体制を確立し、運用していくためには、セキュリティポリシーに基づく監査プロセスを構築し、継続して実施していく必要がある。その際、重要になるのが、すべてのシステム環境におけるポリシー順守状況・状態をチェックする監査の部分だ。しかし、多数のクライアントやサーバが稼働している企業にとっては、監査にかかる工数が大きな負担になっているのが現状だ。
そこでシマンテックでは、セキュリティポリシーの順守状況の監査や、法令や業界標準に基づいたセキュリティポリシーによる監査を自動化するソリューションとして「Symantec Enterprise Security Manager」を提供している。
このソリューションには、PDCAサイクルによる改善を強力に支援する機能を満載しており、3000項目以上のチェック項目を網羅し、法規制に対応したテンプレートも付属。評価結果は、分かりやすいグラフ表示から詳細な情報までドリルダウンが可能だ。
これによって、セキュリティ/アクセス権、変更管理など対象システムのセキュリティチェックが行えるほか、セキュリティポリシー順守チェック、セキュリティ脆弱性チェック、法規制を意識したセキュリティ監査も可能となる。
そして、負荷の大きかったセキュリティポリシー監査部分を自動化することにより、常に最適なコンプライアンスを実現するセキュリティポリシー監査のプロセスを構築し、運用していくことができる。金野隆氏は「これからコンプライアンスに関するポリシー監査に取り組もうとしている方は、『Symantec Enterprise Security Manager』の導入を、ぜひ検討してもらいたい」と述べた。
|
セッション4:シマンテック |
●法令に順守しつつ、データを圧縮して保存できるメールアーカイブソリューション
 |
| シマンテック スペシャリストセールス 遠山太郎氏 |
内部統制において、アプリケーションプログラムやログと並んで、電子メールの証跡保存も重要な取り組みになる。
そして、電子メールの証跡保存に当たってポイントとなるのが、(1)長期にわたって確実に保存し続ける、(2)必要に応じて特定のメールをすぐに取り出せる、(3)ビジネストランザクションの記録としてすべてのメール、またはそのコピーを保存することの3点だ。
ここで課題となるのが、全メールを長期保存することにより、ストレージ容量が増加し続け、検索に要する時間や管理負担も増大してしまうという点だ。
そして、この課題を解決するのがメールアーカイブツールだ。シマンテックでは、法令順守における情報保全義務の履行を支援する電子メールのアーカイブフレームワークとして「Symantec Enterprise Vault 2007」を提供している。
「Symantec Enterprise Vault 2007」では、電子メールのデータを圧縮。シングルインスタンス化によりストレージ容量の大幅な削減を実現し、電子メールの長期保存を支援する。また、WORMデバイスとの併用により改ざんを防止し、情報の完全性を確保するほか、高度かつ高速な検索機能によって、監査時に求められる情報開示要求にも迅速に対応できるようになっている点が特徴だ。
電子メールのアーカイブ手法としては、「ジャーナルアーカイブ」「メールボックスアーカイブ」「ファイルシステムアーカイブ」の3種類を提供している。「ジャーナルアーカイブ」では、Exchange/Dominoメールの送受信情報すべてをアーカイブ、「メールボックスアーカイブ」ではメールサーバのストレージ使用率削減およびパフォーマンス向上、「ファイルシステムアーカイブ」ではシームレスなファイルアクセスやファイルサーバストレージの最適化などを図ることができる。
遠山太郎氏は「『Symantec Enterprise Vault 2007』の導入によって、包括的な情報管理プラットフォームが構築でき、法務責任者/監査担当者から、記録管理者、メール管理者、ストレージ管理者まで、各部門において電子メールコンプライアンスにかかわる業務効率の向上を実現できる」と強調した。
|
セッション5:NetIQ |
●3種類のソリューションでWindows環境におけるIT統制を支援
 |
| NetIQ 製品企画担当マネージャ 堀田昌昭氏 |
Windows環境においてIT統制を行う場合、統制すべき対象として、Windowsサーバ、管理者権限を持ったユーザー、Windowsクライアント、一般ユーザーに加えて、アクティブディレクトリ(AD)の管理が重要になる。
ADには、ユーザー情報、コンピュータ情報、グループ情報などログインにかかわる権限の情報が含まれており、しっかり統制できていないと、業務アプリケーションへの不正アクセスを許してしまうことになる。
そして、Windows環境におけるIT統制に向けて対策が必要となるのが、(1)ADの権限委譲、(2)監査ログ、(3)クライアント管理の3点だ。それぞれ、Windowsの付属ツールで対策を行おうとした場合、さまざまな問題点が生じ、現実的ではない。
そこでNetIQでは、Windows環境におけるIT統制を支援するために3つのソリューションを提供している。
まず、ADリソースの安全な管理と監査を実現するソリューションが「Directory and Resource Administrator(DRA)」だ。職責に合った権限委譲と、完全な監査証拠を提供するとともに、自動化やポリシーの徹底により作業の効率化を図ることができる。
2つ目は、グループポリシーの安全な管理と監査を行う「Group Policy Administrator(GPA)」だ。このソリューションでは、オフラインでの完全な作業とグループポリシーのバージョン管理、および役割分担と監査証拠の提供が可能になる。
そして、3つ目のソリューションがクライアントPCの安全な管理と監査をサポートする「WinINSTALL」で、バッチ適用やアプリケーション導入など、コンピュータの管理・統制を容易に実現する。さらに、管理者を最小限にして、管理者不在の拠点にも遠隔操作でのアプリケーション導入を実現する。
堀田昌昭氏は、「これらのソリューションを活用することによって、Windows環境でのIT全般統制を実現し、安全で効率的なWindows環境の運用が可能になる。そして、その次のステップとして業務処理統制に取り組むことを推奨する」と述べた。
お問い合わせ先:[email protected] |
提供:株式会社日立情報システムズ
株式会社JIEC
株式会社シマンテック
NetIQ株式会社
企画:アイティメディア 営業局
制作:@IT 情報マネジメント編集部
掲載内容有効期限:2008年3月31日
|
イベントレポート インデックス Bトラック
|
| 「システム開発・変更案件管理の統制強化と業務の効率化を図る」 ――日立情報システムズ |
| 「ログ統合・証跡管理SaaS【Log Shelter】」 ――JIEC |
| 「セキュリティポリシーに基づく監査プロセスの重要性」 ――シマンテック |
| 「メールコンプライアンスを支援するアーカイブソリューション」 ――シマンテック |
| 「IT統制を実現するAD、GP、PC管理ソリューション」 ――NetIQ |
|
Aトラックのイベントリポートへ (RSAセキュリティ、ソリトンシステムズ、ウェブセンス・ジャパン、Sky、クオリティ) |
|
スポンサー
|
同時開催していたAトラックのレポート |
| 「効果的なIT統制を実現する認証・アクセス管理と統合ログ管理」 ――RSAセキュリティ |
| 「時間とコストなぜかかる? 導入負担を抑えるID管理のご紹介」 ――ソリトンシステムズ |
| 「内部統制のための情報セキュリティ」 ――ソリトンシステムズ |
| 「内部統制時代の次世代型情報漏えい防止ソリューション」 ――ウェブセンス・ジャパン |
| 「内部統制に必要なクライアント管理とは何か?」 ――Sky |
| 「3000社300万クライアントの実績を誇るIT資産管理ツール」 ――クオリティ |
ITmediaはアイティメディア株式会社の登録商標です。
