日本版SOX法の実施基準発表!まず取り組むべきコトが明確に
2007年2月、金融商品取引法(日本版SOX法)の実施基準が発表された。これまで、米国におけるSOX法の取り組みを参考に、手探り状態で内部統制体制の確立を進めてきた企業にとっては、待ちに待ったガイドラインが登場したのだ。
発表された実施基準には、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」という6つの統制手段が明示されている。
中でも、日本独自とも言うべき項目が、最後の「ITへの対応」である。 「ITへの対応」は、大きく「IT環境への対応」「ITの利用」「ITの統制」に分けられる。さらに、経済産業省から発表されたシステム管理基準追補版(案)(財務報告に係るIT統制ガイダンス)では、「IT統制」は「IT全社統制」「IT全般統制」「IT業務処理統制」に分類される。
この中でも、まず企業が取り組むべきことのひとつが、「IT全般統制」の中に見える「アクセス管理」という概念だろう。
アクセス管理の統制目標とは
では一体、「IT全般統制」における「アクセス管理」とは、どのようなことなのか。システム管理基準追補版(案)には、さまざまな統制目標例を挙げて具体的に示されている。
これをまとめると、第一に、「誰が」、「どのシステム」を、「どういう権限」で利用できるのか、を厳格に管理すること。そして第二に、不正なユーザーによるアクセスを防ぎ、それを証明するためにユーザーのアクセスログデータを記録・保管することが求められている。これをまとめると、第一に、「誰が」、「どのシステム」を、「どういう権限」で利用できるのか、を厳格に管理すること。そして第二に、不正なユーザーによるアクセスを防ぎ、それを証明するためにユーザーのアクセスログデータを記録・保管することが求められている。
実施課題 |
例題:アクセス管理を実施できない5つの理由? |
では、実際に「アクセス管理」を実施する場合の問題点を例題で考えてみよう。
例えば、開発側から本番環境にアクセスするような業務では、新たに「アクセス管理」を実施しようとすると次のような障害要因が浮かび上がってくる。
・サーバのID、パスワードが共有されている
・サーバごとにID、パスワードを再設定するのは大変な労力が必要
・各サーバのログは記録されているが統合的に管理できない
・端末とユーザーの紐付けが行われていない
・クライアント端末にエージェントを導入するのは困難
このような障害要因を1つひとつ解決していくことは非常に困難であり、費用も、手間も、時間も掛かってしまう。
そこで、今、内部統制を実現するための「アクセス管理」を、具体的かつ効率的に解決するソリューションが求められているのである。
NRIセキュアテクノロジーズが提供する「Secure Cube/Access Check」は、サーバへのアクセスを制御・管理することで、セキュリティの強化と「IT全般統制」の強化を一気に解決するソリューションとして注目されている。
それでは、引き続き、「Secure Cube/Access Check」の機能を見ながら、このような障害要因をどうクリアしていけばいいのか考えてみよう。
推奨構成 |
今、稼働しているシステムに影響を及ぼすことなく、運用が可能 |
特定の環境に依存せず円滑な導入・運用が可能なことは、既存のシステムへ新たに「アクセス管理」機能を追加する場合、非常に重要なポイントとなる。
「Secure Cube/Access Check」は、既存の端末や既存のサーバに対して、エージェントなどのソフトウェアをインストールする必要がない。端末側のOSやソフトウェアにも依存せず運用が可能となっているので、既に本番環境が動いている環境でも導入が容易だ。
また、フェイルオーバーを含む運用・監視に関するさまざまな機能を内包しているので、他の運用管理ソフトを導入しなくても、「Secure Cube/Access Check」のみで円滑に運用業務を行うことができる。
運用管理 |
サーバを設置するだけで、アクセス管理機能を導入 |
「Secure Cube/Access Check」は、Telnet、FTP、HTTPといった主要な通信プロトコルに対応している。そのため、ネットワークのセキュリティ境界にAccess Checkサーバを設置するだけで、簡単に強力な「アクセス管理」機能を導入することができるようになっている。
例題で取り上げた、開発環境セグメントから本番環境サーバへの「アクセス管理」を行う際でも、システム運用サイドとシステム開発サイド、両方のアクセスの門番となり、障害対応、メンテナンス等で開発環境から本番環境へアクセスする際に、開発サイドが勝手にシステム設定を変更してしまったり、必要のないデータにアクセスしてしまったりするような事態を防ぐことができる。
また、「Secure Cube/Access Check」は、個人情報や営業秘密を取り扱うサーバのシステム運用管理などにも有効なソリューションである。
申請・承認 |
アクセスの申請・承認機能の実装で、柔軟なアクセス制御が可能 |
アクセス統制を実現する「アクセス申請/承認機能」を実装しているのも「Secure Cube/Access Check」の大きな特長だ。
ユーザーは、Access Checkの管理画面にて、アクセスの目的、システム名、アクセス時間などを記入してアクセスを申請。システム管理者が、申請内容を確認して承認/却下することができる。そのため、申請された内容をもとに柔軟にユーザーのアクセスをコントロールできるようになっている。
ログ管理 |
アクセス管理の信頼性を高める、細やかなアクセスログ管理機能 |
「Secure Cube/Access Check」では、アクセス日時やIPアドレスといった「サマリーログ」と、送受信されたデータの「全文ログ」を取得することが可能となっている。
さらに、検索条件を入力し、該当するアクセスログだけをダウンロードすることも可能だ。
そのため、不正アクセスの追跡や抑止効果が期待できる一方、冒頭でも述べたように、監査法人に「アクセス管理」が厳密に行われている資料として、アクセスログを提示することも簡単にできる。
加えて監査法人では、「アクセス管理」がいい加減だと、財務報告が改ざんされてしまったり、プログラムが書き換えられてしまったりする可能性が高いと判断する場合があるという。
ビジネスパートナー募集のための説明会を開催
NRIセキュアテクノロジーズでは、
Secure Cube/Access Checkの販売パートナーや導入パートナーを募集しており、
来る3月23日(金)に、パートナー向けの説明会を開催する。
SecureCube/Access Checkに基づいたビジネスに興味のあるシステムインテグレータや販売店は
ぜひ参加してみてはいかがだろうか。
■日程:2007年3月23日(金)
■時間:15:00〜16:50(受付14:30〜)
■会場:DESK@東京 日本ビル1階 会議室(東京都千代田区大手町2-6-2)
■参加費:無料
■内容:SecureCube/Access Checkに関する新しいビジネスパートナーシップをご提案します。
※セミナーの開催内容や日程などは変更させていただく場合がございます。あらかじめご了承ください。
※開催日以降、または満員などにより、申込を締め切る場合があります。
|
製品名 | Secure Cube / Access Check |
---|---|
メーカー | NRIセキュアテクノロジーズ |
クライアント側OS | - |
クライアント側対応プロセッサ | - |
クライアント側必要メモリ容量 | - |
クライアント側必要ディスク容量 | - |
クライアント側その他動作環境 | - |
サーバ側OS | RedHat Enterprise Linux 3.0 ES |
サーバ側対応プロセッサ | 上記OSが稼動する機器。Xeon 3.0GHz 以上を推奨。 |
サーバ側必要メモリ容量 | 1GB以上を推奨 |
サーバ側必要ディスク容量 | 蓄積するログの期間等に依存(140GB以上を推奨) |
サーバ側その他動作環境 | 特になし |
その他特記事項 | 特になし |
価格情報 1ライセンス485万円(税別)から 補足説明 |
サポートエリア 全国 補足説明 |
|
製品・サービスの取扱い企業
NRIセキュアテクノロジーズ株式会社
住所:〒100-0005 東京都千代田区丸の内1-6-5 丸の内北口ビル
TEL:03-5220-3359
FAX:03-5220-2039
e-mail:info@nri-secure.co.jp
URL:http://www.nri-secure.co.jp/service/cube/accesscheck.html
掲載企業
NRIセキュアテクノロジーズ株式会社
住所:〒100-0005 東京都千代田区丸の内1-6-5 丸の内北口ビル
TEL:03-5220-3359
FAX:03-5220-2039
e-mail:info@nri-secure.co.jp
URL:http://www.nri-secure.co.jp/