システムにおける日本版SOX法の順守チェックを支援する Symantec Enterprise Security Manager

　コンプライアンス対応において重要なことは、制定したポリシーを定期的に見直しながら運用することだ。しかし、複数の法令を順守しながら内部統制を徹底することは非常に煩雑で難しい。セキュリティポリシーの順守状況の監査や変更管理を支える、シマンテックのセキュリティポリシー管理製品を紹介する。

ITポリシーコンプライアンス体制を確立するためのヒント

　ITを基盤としたビジネス展開をする企業にとって、情報セキュリティポリシーの策定は、適切なセキュリティ運用とその有効性を確認するために必要不可欠である。日本版SOX法でも、ITは内部統制の対象となっており、来年の施行を前にセキュリティポリシーに反映させている企業も多い。

　それでもなお、情報漏えいなどが後を絶たないのはなぜだろうか。それは、企業が利便性とのバランスを考慮する裏で、管理の不備や操作ミス、内部からのデータ持ち出しなどのリスクが増加しているからだ。

　外部犯罪者からの攻撃や情報の不正な取得、従業員がポリシーを順守せず、意図的あるいは無意識に情報を漏えいしてしまうといったコンプライアンスやセキュリティのリスクを考慮し、適切に管理していかなければならない。

　そのために必要なことは、ITインフラの整備と運用を適切に定められたセキュリティポリシーに沿って行うだけでなく、従業員などによるITサービスの利用の実際も同様のポリシーどおりに行わせることだ。つまり、セキュリティを順守する・順守させる仕組みづくりが必要となる。

　別のいい方をすれば、ポリシーの下にITを統制することができていれば、次々と課される法規制や新たに登場する業界標準への対応を、柔軟かつ容易に行うことができる。

情報セキュリティポリシーといっても、実際は複数の法令が絡み合って形成されている。それを個別に対応していては、複雑化する上に規定の冗長化が発生し、作業の負荷は高くなるばかりだ。 　こうした問題を解消するために、共通するITの利用ポリシーを作成し、それを順守する体制を確立する。これにより、ある法令でのポリシー対応を変更することになっても、ITポリシーの変更として吸収と同時に、ITインフラの適切な運用をコントロールすることによりリスクを管理し、不正や事故の発生を抑制できるようになる。 （図をクリックすると拡大します）

　適切なセキュリティポリシーとそれを順守させる仕組みづくりに重要な要素となるのが、ポリシーに順守しているかどうかの定期的なチェック／監査を行い、改善していくことだ。

　特にIT部門において、クリティカルなサービスの提供、重要なデータの集積や保管を行っているサーバのようなコンピュータに対しては、詳細な設定管理、ポリシー、法令や業界標準への対応状況のチェックを行うことが重要となる。

　しかし、さまざまなプラットフォームにわたり、さまざまなチェック内容が存在するため、定期的なチェックを行うことは負荷が高く、また、これにより結果を可視化することは難しい。

Symantec ESMでコンプライアンス対応状況監査を自動化

　そこで、ポリシーへの順守状況のチェック／監査を自動化し、管理者の負荷を大幅に軽減するのが、シマンテックの「Symantec Enterprise Security Manager 6.5」（Symantec ESM）である。ポリシー順守状況の可視化とセキュリティの向上を実現できる。

　Symantec ESMは、監査対象のPCやサーバにエージェントをインストールし、管理サーバでITポリシーへの対応状況などを監査する。エージェントは、CPUの稼働状況を確認しながら利用率の低いタイミングを狙って監査を実施し、管理サーバに結果を報告する。これにより、機器およびネットワークに負荷をかけずに対応チェックが行える。

　Symantec ESMを導入したら、コンプライアンス状況を把握するための評価プロセスを確立する。といっても、管理者は米SOX法やHIPAA、ISO/IEC 17799などの代表的な法規制のセキュリティチェック項目があらかじめ設定されたポリシーテンプレートから、自社に適したものを選択するだけでよい。あとは、Symantec ESMがそれに基づいて自動的に準拠の有無をチェックし、結果をグラフなどでレポートしてくれる。

　ポリシーテンプレート以外にも、3,000を超えるチェック項目から自社ポリシーに見合った内容を選んでカスタマイズすることも可能だ。なお、これら項目はLiveUpdateによって常時更新、追加されており、最新の状況に対応できる体制が整えられている。

　特筆すべきは、ポリシー監査を自動で行う点である。特にヘテロジニアス環境（複数OS混在環境）では、サーバやクライアントの台数が多くて頻繁に対応状況をチェックするのが大変だったり、すべてを把握することが難しかったりと、マニュアルで操作するには管理者に多大な負担を与えてしまう。また、各地に支店や営業所がある場合も、それぞれを個別に監視するのは大変な作業だ。しかも、海外に支店がある場合はその国ごとの法規制に対応しなければならず、さらに作業は煩雑になる。煩雑であればあるほど、人的な設定ミスも発生しやすい。

　Symantec ESMでは遠隔地を含めた監査を、最大10,000台のサーバに対して定期的かつ自動的に実施できる。異なるOS混在環境へのセキュリティチェックも、専門知識がなくてもテンプレートなどをベースに設定可能だ。これらをすべて1台のコンソールから一括管理できるのも、作業負荷の大幅な削減となる。

システム状況と順守状況を可視化するレポート作成機能

　以上でチェックした内容は、法令やガイドラインに沿ってレポートとして出力できる。

　レポートには、監査結果をグラフ化したサマリーレポート、詳細レポート、前回と比較した差分のみのレポートの3種類がある。サマリーレポートのグラフは、ポリシーに準拠している割合を緑色で、ポリシーに違反していないが注意が必要な割合を黄色で、ポリシーに違反している割合を赤で表示する。

　各色は、赤が10ポイント、黄色が2ポイント、緑色が0ポイントといったスコア形式で計算した結果だ。サマリーレポートの下部のペインにはセキュリティチェック項目とシステム別にスコアの合計が表示され、どの項目で違反が多いかが一目瞭然で把握できる。

　さらに、グラフの色部分をクリックすると詳細レポートが表示されて、実際の違反内容や修正するためのガイドラインなど、きめ細かい指示が確認できる。例えば、どのユーザーのパスワード強度が低いかが分かれば、すぐにそのユーザーに通知して対応を促すことも可能である。

サマリーレポート

　前回と比較した差分のみのレポートは、PDCAサイクルで大きな役割を果たす。コンプライアンスの対応状況は、必ずしも横並びになるわけではない。どうしてもシステムごとに達成レベルが異なってくる。

　差分レポートは、そうした達成レベルの差を示すことで、ベースラインから目標レベルに達するには何が必要か、正確に把握するための検討材料を提供する。検討材料には、インシデントの優先順位付けや、対応が必要なシステムの把握、必要な対処方法などがある。これにより、管理者は組織全体のセキュリティベースラインの底上げを実現できるのだ。

　なお、「Symantec Backup Exec」と連携させることで、最後のバックアップ結果状況のレポート、バックアップ周期のチェックおよびレポート、Backup Execのバージョンチェックなども行える。日本版SOX法の資産保全を意識した包括的なソリューションを考える企業であれば、併せて検討するとよいだろう。

日本版SOX法向け新テンプレート

　このほか、Symantec ESMでは日本版SOX法の施行に向けて「J-SOX統制監査用テンプレート」が8月1日より提供開始された。同テンプレートは、内部統制報告書を作成する際に、内部統制の標準フレームワークである「Cobit4.0」、およびITの利用における統制を含んだ「日本語版COSO」の両方の観点からコンプライアンス状況を確認するためのものだ。すでにITベストプラクティスをベースにデフォルト設定がされているので、そのまま利用するのはもちろん、自社ポリシーに適したカスタマイズも行える。

　テンプレートは、「変更通知ポリシー」「リソース検査ポリシー」「統制遵守チェックポリシー」の3つを提供する予定だ。変更通知ポリシーは、システムファイルやサービス、レジストリなど財務報告に影響を与える変更状況を監査するテンプレートで、毎日チェックする項目が挙げられている。リソース検査ポリシーは、重要なシステムリソースの状況を監視および記録し、リスクを認識して対応を促す目的のテンプレートだ。そして統制遵守チェックポリシーは、現在の環境がコンプライアンスに対応しているかを監査し、現状を記録しながら監査に必要なレポートを出力するためのテンプレートとなる。

　例えば変更通知ポリシーのテンプレートを適用した場合、Symantec ESMの「アカウント整合性」モジュールが、COSOおよびCobIT4.0のどの条項に適合するかを確認できる。