テンプレートでSOX法への対応状況を監査できるソフト

2006/4/20

 シマンテックは4月19日、セキュリティポリシーやコンプライアンス(法令順守)の状況を自動的に監査するソフトウェア「Symantec Enterprise Security Manager 6.5」(ESM)の提供を4月末より開始すると発表した。同社と合併したベリタスソフトウェアのバックアップソフトとの連携や、脆弱性評価機能などが追加された点がポイントだ。

シマンテック リージョナルプロダクトマーケティングマネージャ 金野隆氏
  ESMは社内のセキュリティポリシーや、個人情報保護法やSOX法など各種法律へ対応するためのチェック項目を設定することで、社内クライアントPCの適用状況を自動的にチェックし、監査するというもの。監査対象のPCやサーバに入れるエージェントと、管理サーバであるマネージャやコンソールの各コンポーネントで構成されている。

 チェック項目は、前バージョンの約2000項目から大幅に増えて3300項目となった。また、米国SOX法や米国の連邦情報セキュリティ管理法(FISMA)などへ対応できるようにチェック項目を調整したポリシー評価用テンプレートが用意されており、それらのテンプレートを実行するだけで、それらの法律への対応具合を監査できる。

 シマンテック リージョナルプロダクトマーケティングマネージャ 金野隆氏は、「個人情報保護法や日本版SOX法など、対応しなければならない法律が増えている。しかし、米SOX法やISO17799などには『具体的に○○をしなければならない』とは書いていない。つまり、企業自身が対応を考えないといけない」と指摘。しかし、各企業が自身で完ぺきなポリシーを策定するのは現実的ではないため、定期的な監査が重要になるという。

 実際の利用時には、あらかじめ用意されている「アカウント整合性」や「ログインパラメータ」「パスワード強度」といったモジュールを選択して、ポリシーを設定。監査対象となるPCを選択し、マネージャやエージェントに対して監査実行命令を出す。監査実行後は監査結果が表示され、それぞれのチェック項目に対してどの程度のPCが対応/未対応であるかを視覚的に認識することができる。この際、SOX法や医療系のHIPAAなどのテンプレートを利用することで、簡単にそれぞれの法律への対応度合いを確認することができる。なお、日本向けに有償で個人情報保護法やISMSへ対応したテンプレートも用意しているという。

 最新バージョンでは、新たに脆弱性管理機能が追加され、ポリシー監査と同時に脆弱性管理が行えるようになったほか、Oracle 10gやMicrosoft SQL Server、Microsoft Exchange Serverなどのアプリケーション管理も可能になった。さらに、バックアップ監査の機能も追加されている。これは、2005年にシマンテックとベリタスソフトウェアが合併したことによって、ベリタスソフトウェアの製品であったBackup Execとの連携によって実現したもの。

 金野氏は、「ESMは各PCにインストールされているエージェントが監査を行うので、ネットワークに負荷をかけないのがポイントだ。さらに監査プログラム自体がタスクマネージャの優先度『低』で動作しているため、ほかのプログラムの邪魔をしないようになっている。これにより、数千台規模の監査においてもネットワークに負荷をかけず、かつ迅速に行うことが可能となっている。今後日本でも、日本版SOX法などコンプライアンス対応が一層注目されていくだろう」とコメントした。

(@IT 大津心)

[関連リンク]
シマンテックの発表資料

[関連記事]
「SOX法対応の第1フェイズに」、シマンテックがIT評価サービス (@ITNews)
内部統制の鍵はセキュリティ、SOX法対応でシマンテック提言 (@ITNews)
施行間近の個人情報保護法、「いまから対策しても間に合いません」 (@ITNews)
1000億円企業に、新生シマンテック船出は「予想以上に順調」 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)