日本版SOX法施行に向けて内部統制システム構築を

　米国で施行されたサーベンス・オクスリー法（SOX法）に倣って、日本でも内部統制の強化を求める日本版SOX法（J-SOX）の制定が話題になっている。早ければ2008年3月期から適用されるのではないかと予測される。

　まだまだ草案が公開された段階であるが、企業の関心は非常に高まっている。特に日本版SOX法では、米国版にないITの利用（IT統制）が組み込まれており、すでに多くのベンダからSOX法対応ソリューションが登場している。

　RSA Conference 2006 JapanにおけるNTTグループブースでも、NTTデータとNTTソフトウェアがSOX法に向けた取り組みを紹介する。

●「だれが」「いつ」「どんな」書類を電子文書化したのか

　NTTデータが出展するのは、電子化したドキュメントを安全に保管、流通、活用するためのインフラストラクチャだ。ブースでは実際に紙の書類をスキャンして電子文書化し、電子署名とタイムスタンプを用いて「誰が」「いつ」「どんな」書類を作成したのかを証明するデモを行う。

　SOX法で求められる内部統制を実施する場合には、あらゆる業務、作業、工程をドキュメント化して、それを本当に実施したということを証明する必要がある。しかし、ドキュメント化したマニュアルや手順書、設計書などが管理されていないようでは効果が上がらない。つまり、責任者の承認を得た形でデータを集約し保管する仕組みが必要になる。

　「CECTRUST（シーイーシートラスト）原本保管サービス」は、重要な電子文書をデータセンター内のサーバに安全に保管するASPサービスであり、電子署名には電子署名法で規定されている特定認証業務の認定を受けた「CECSIGN認証サービス」を用いる。電子署名を利用することで、「誰が」「どんな」書類を作成したのかが証明できる。

　それでは、「いつ」「どんな」書類が作成されたのかを証明するにはどうしたらいいか。その答えはタイムスタンプだ。「SecureSeal」によってタイムスタンプを押すことにより、「いつ」が第三者から保障される。また、電子文書の改ざんの有無が証明できることによえい、SOX法で規定される監査の証拠となる。現在、SecureSealはe文書法の保管技術要件に対応する「認定タイムスタンプ制度」の認定を受けている。

　以上のような電子文書の保管、配送、電子署名、タイムスタンプをセキュアに取り扱うためのプラットフォームが「SecurePod」だ。ASP型のCECTRUSTもSecurePodプラットフォーム上のサービスとして提供されている。

「誰が」「いつ」「どんな」書類を作成したのかを証明する

●内部統制は「予防」「異常監視」「効率化」のサイクルで

　NTTソフトウェアは、SOX法の中の内部統制／IT統制に焦点を当てて、職責の分離と権限管理に基づいた「予防」、不正の抑止・早期発見を行う「異常監視」、そして業務の「効率化」という3つのサイクルに向けたソリューションを提案する。

　予防と、効率化のサイクルに適したソリューションとして、「CSLGuard（コンソールガード）」と「ACTCenter（アクトセンター）」を組み合わせたアカウント統合ソリューションがある。

　CSLGuardは、Windowsドメイン、クライアント／サーバ型アプリケーション、Webアプリケーションごとにユーザーのアクセス権を制御する統合認証サーバだ。ユーザーにとっては1つのID／パスワードによるシングルサインオンで利便性が向上する。その一方で、管理者にとっては権限外のサーバへの不正アクセスを防止でき、またアクセスログの一元管理ができることで、内部統制での予防的役目を果たす。

　また、ACTCenterは多数のサーバや業務アカウントを管理・運用するための管理者向けアカウント統合管理サーバだ。大量のアカウント情報の変更が発生する異動や入社／入学時期にアカウント情報を自動で一括変更、アカウントの管理漏れを防ぐ。パスワードの自動変更や実アカウントと管理アカウントの差分調査（監査）を実行して内部統制の効率化を図る。

　なお、異常監視のサイクル向けには米NiKSUN社が開発したフォレンジックサーバ「NetDetector」を用意している。

トップページへ戻る

個人情報保護法によってさまざまな情報漏えい対策が登場

　個人情報保護法が施行された後も、相変わらず情報漏えいのニュースが世間を賑わせている。同法の第20条では、保有する個人情報を安全に管理するための措置を取ることが規定されており、多くの企業はこれに従ってさまざまな情報漏えい対策を導入してきた。

　NTTグループでもいくつかの情報漏えい対策ソリューションを開発している。RSA Conferenceで展示されるものを紹介しよう。

●USBメモリを挿して起動することで既存PCがシンクライアントに早変わり

　NTTコムウェアは、中期経営戦略にもうたわれているオープンソースソフトウェアの活用を積極的に展開している。今回出展される「Linuxシンクライアント」の特徴は、ロム型（リードオンリー）のUSBメモリを利用している点だ。

　OSにはNovell Linux Desktop Thin Client Editionを採用し、標準で搭載されるアプリケーションはWebブラウザ「FireFox」とWindowsターミナルサーバに接続するためのRDPクライアント、MetaFrameサーバと接続するためのCitrix ICAクライアントのみというシンプルな構成になっている。

　シンクライアントとして起動した既存PCに内蔵されているハードディスクはもちろん、CDドライブやUSB接続した外部メディアなどのストレージ系デバイスは完全に遮断される（USB接続のマウスなどのユーザーインターフェイスデバイスは利用可能）ため、機密情報などの情報が漏れることもない。

　データを保存できる領域がどこにも存在しないのでキャプチャソフトなどのアプリケーションを勝手にインストールされることもない。万が一、ウイルスに感染してしまったとしても既存ＰＣのオンメモリ上で動作しているため、電源をオフにすると消滅してしまう。

　なによりも既存のPCをそのまま利用できるという点は、導入コストの削減につながる。1ユーザーアカウントあたりの初期コストは2万円程度だ。なお、USBタイプでは既存PCのハードディスクの内容は一切変更されないので、通常のWindows PCとしての継続利用も可能だ。

　このほか、既存PCをシンクライアント専用端末として利用するHDタイプがあり、シチュエーションに応じて選択できる。またＨＤタイプは、利用する環境が変わり、WindowsPCとして再インストールし利用することも可能である。既存のPC資産を最大限に活用して、セキュアなシンクライアント環境を手早く実現できるソリューションである。

●指紋による生体認証で確実なユーザー確認を実現

　個人情報の漏えいが発生する原因にしばしば挙げられるのが、情報が保存されたPCを外部へ持ち出した時に紛失したり、盗難にあったりしたというものだ。伝統的なIDとパスワードの組み合わせだけでは、第三者の手に渡ったときに内部のデータが漏えいする可能性が高い。

　そこでユーザー自身のバイオメトリクス情報と連動した本人認証デバイスが注目を浴びている。NTTエレクトロニクスが出展するのはPKIに対応した指紋認証USBトークン「FingerQuick」だ。SSL VPNを利用する際の確実なユーザー認証を実現すると共に、Windowsログオンやシングルサインオン、スクリーンロックなどの付属ソフトとの連携により、セキュリティの確保と利便性向上の両立を図った。

　また、管理者による使用制限機能が強化され、管理者の許可なく指紋登録やパスワードの設定・変更等ができないように制限をかけるなど、セキュリティポリシーに応じた運用を可能とした。

●ユーザーの行動を監視して内部からの情報漏えいを未然に防ぐ

　情報漏えいの8割は内部からの流出といわれている。NTTアドバンステクノロジが提案する内部情報漏えい対策サービス「Smart Leak Protect」は、内部情報漏えい対策ソリューションとして定評のあるインテリジェントウェイブの「CWAT」をベースに導入コンサルティングから運用支援までをトータルで行う。

　同社では、アラートの統計処理を行う独自のレポートツールを開発し、監視結果を効果的に確認できるレポートを提供する。また、管理者向けの勉強会を開催したり、CWATを利用した円滑な運用を行うため、操作方法や運用に関する手順などをまとめた独自の運用マニュアルを提供したりする。さらにトラブルが発生した場合には、エンジニアが現場に駆けつけて対応する。

　Smart Leak Protectは情報の流出を未然に防ぐためのサービスであるが、万が一、漏えいしてしまった場合に備え、ファイルやメールの暗号化にも対応している。この暗号オプションでは、NTTが独自に開発したCamelliaが標準暗号となっている。

●入退室管理にもバイオメトリクス認証が必須

　個人情報保護法に定められた安全管理措置の中に、物理的安全管理措置という項目がある。具体的には入退室管理装置の導入である。NTTアドバンステクノロジの指紋入退室・出退勤ターミナル＆システム「指紋認証装置 AT-600FP」では、従来のIDと暗証番号（PIN）による認証に加えて、指紋によるバイオメトリクス認証を組み合わせてユーザーをチェックする。さらに、オプションとしてICカードも組み合わせることができる。

　指紋リーダは故障に強い光学式を採用しているほか、指を差し出すだけでセンサーが反応し、自動的に指紋をスキャンする。高速な指紋認証エンジンを搭載しており、登録データが300人程度であれば平均1秒、1,000人程度になっても平均2.5秒の認証時間を実現した（1：Nモード）。また、ゲート端末は既存のIPネットワークで管理サーバに接続可能で、1台の管理サーバで255台のゲート端末をコントロールできる。

●持ち歩くのはUSBキーだけ、社内のPCへ安全・簡単にユビキタスアクセス

　NTTアイティが出展するのはユビキタスVPN「MagicConnect」だ。個人専用のUSBキーをWeb閲覧環境にある世界中の任意のWindows PCやシンクライアントに挿すだけで、社内の特定のPCやサーバへVPN接続し、社内と同様な環境でPC業務ができる。

　従来のVPNと異なり、VPN専用装置やネットワークの設定変更が不要。USBキーに格納されている専用ソフトをアクセスする社内のPCにインストールするだけで、すぐに利用開始できる。

　社内のPCから手元PCへ転送されるのは画面データだけのため、利用したファイルやメールなどの情報が手元PCに残らない。ファイルのダウンロードやコピー＆ペースト、プリントアウトも禁止できるため、情報漏えいや社内PCへのウイルス侵入を防止できる。また、ユーザーごとに接続の許可／禁止を変更できるほか、接続状況をリアルタイムに確認可能なこと、接続できるPCや接続できる場所を限定可能なことも安心な点である。

　上述の特長は、オフィスルームからセキュリティルームのサーバやブレードPCにアクセスしてPC業務を行うサーバベースコンピューティング（SBC）にMagicConnectを適用した場合、シンクライアントの代わりに、既存のPCをそのまま活用できることを意味する。月額1050円のASPサービスやシステム製品で提供されるMagicConnectは、社内外を問わず、より安全でユビキタスなアクセス環境を実現するに最適なソリューションといえる。

トップページへ戻る

本サイトに記載されている会社名､商品名は一般に各社の商標または登録商標です｡