第2回 物理セキュリティとITセキュリティをつなぐ新たな仕掛け
萩谷 茂
株式会社日立製作所
都市開発システムグループ
ソリューション統括本部
都市開発ソリューション本部
ユビキタスソリューション部
セキュリティグループ
2007年2月22日
オフィスにおけるセキュリティの鍵として非接触ICカードを利用することが多くなった。用途に応じて増え続けるICカードを1枚にまとめることはできないのだろうか(編集部)
現在の企業に課せられた大きな課題として、日本版SOX法(金融商品取引法)への対応があります。米国で始まった一連の企業会計不祥事が伝染したかのように日本でも発生し、マスコミを騒がせました。その対策として制定された日本版SOX法も施行時期の延期、費用対効果を疑問視する声などが聞こえてきていますが、内部統制による財務データの正当性確保への要求は待ったなしの状態になっています。
アクセス制御などを考えた場合、業務の正当性を監査するためには、IT側と物理セキュリティ(フィジカルセキュリティ)側の統合されたログ(監査証跡)が有効となります。従って、システムも統合化された形が望まれるようになってきました。
例えば、効率的で、強固なセキュリティを確保し、運用者の負担を軽減し、成長性のあるシステムが期待されます。その1つの答えが、本連載で紹介するSSFC(Shared Security Formats Cooperation)です。
今回は、スペースセキュリティ、つまりSSFCカードを使った入退室管理システムを中心として、物理セキュリティとITシステムとの具体的連携の姿を紹介していきます。
IT系と物理系の統制環境が必要になる
日本版SOX法に従って財務報告に影響する業務フローの正常な履行を行うためには、各業務部門における手作業による統制(コントロール)の実装に加え、情報システム部門が行う自動化による制御の実装を併用します。つまり、現代オフィスにおける業務の中心であるITについてはシステム側で制御を実行し、残る人的な部分もIT環境に即した形で整えていくという関係にあるといえます。
業務フローを正しく遂行するには、紙文書・電子ファイルなどの各種媒体や業務アプリケーションなどに対して、権限を与えられた者がその範囲内でアクセスすることが重要となります。
自動化による統制要素として、電子証明書を利用した業務アプリケーションのアクセス制限やファイルアクセスに対する制限、エラーデータの取り扱いなど、主にITによる統制環境が挙げられます。
一方、人の手による作業要素としては、書庫の施錠管理や入退室管理による入力原票の適切な取り扱いやプリンタ出力物の適切な取り扱いなど、紙文書へのアクセス制御が挙げられます。これらは主に、物理系の統制環境を整備することによって達成されます。
こうしたIT系と物理系の統制環境をどこまで整備するかは、財務報告に及ぼすリスクを評価したうえで決定することになります。
また、正しく業務フローが遂行されているかどうかといった内部統制の評価を実施するために、監査用の監査証跡を残すことが必須となります。財務報告に及ぼすリスクによって、IT系ではPCログイン管理、データベースなどへのアクセス管理とログ収集、フォレンジックツールの利用などが、物理系では入退室履歴、カメラを用いた画像ログなどが監査証跡として利用できるものと予想されます。
SSFCによる物理セキュリティとITセキュリティの連携
従来、入退室管理などの物理系システムと情報を管理するIT系システムとは、個別に検討・導入されることが一般的でした。しかし、業務に対する統制を確実に行い、評価を効率よく行うには、双方の整合が取れていることが望ましいのです。
SSFCでは、物理・IT双方を統合する形のセキュリティを実現します。例えば、入退室管理(物理セキュリティ)と情報アクセス管理(ITセキュリティ)を連携させることで、ICカードによるオフィスへの入室履歴がなければPCのログインができないような仕組みを構築します。
また、同じICカードを利用して、書庫をはじめとするオフィスファーニチャーの施錠管理やプリンタへの出力制限と連携することにより、手作業による統制のサポートを行うことが可能となります。
このようにSSFCに基づいて設計されたシステムで業務を行った際のアクセスログや入退室履歴は、物理、IT両面からの正当性を持つことになり、監査における客観性や証拠能力を向上させることができます。
このシステムを実現するためのベースとなるのがSSFC規格です。各オフィス機器との連携を行うための通信はSSFCのフレームワークにのっとって行われます。例えば、対応した機器の物理イベントを取得すること、上位の入退室管理システム側から機器間連動制御を行います。特徴的なのは、メーカーの枠を超えた機器間連携を実現した点です。
これにより、手作業による統制と自動化によるシステム統制の双方を同時に実現するID/アクセス管理環境が構築できます。例えば、監視カメラによる録画指示では、「書庫を開けた」「プリンタへ出力」といったイベント情報と、そのイベントを「誰が」「いつ」行ったのかという録画記録を業務実行履歴として記録、保管できます。
1/2 |
Index | |
物理セキュリティとITセキュリティをつなぐ新たな仕掛け | |
Page1 IT系と物理系の統制環境が必要になる SSFCによる物理セキュリティとITセキュリティの連携 |
|
Page2 SSFCを導入したオフィスは、こう変わる 順路制御でセキュリティ意識を向上させる 段階的なシステム導入で、まずはICカードから |
RFID+ICフォーラム トップページ |
- 人と地域を結ぶリレーションデザイン (2008/9/2)
無人駅に息づく独特の温かさ。IT技術を駆使して、ユーザーが中心となる無人駅の新たな形を模索する - パラメータを組み合わせるアクセス制御術 (2008/8/26)
富士通製RFIDシステムの特徴である「EdgeBase」。VBのサンプルコードでアクセス制御の一端に触れてみよう - テーブルを介したコミュニケーションデザイン (2008/7/23)
人々が集まる「場」の中心にある「テーブル」。それにRFID技術を組み込むとコミュニケーションに変化が現れる - “新電波法”でRFIDビジネスは新たなステージへ (2008/7/16)
電波法改正によりミラーサブキャリア方式の展開が柔軟になった。950MHz帯パッシブタグはRFID普及を促進できるのか
|
|
- - PR -