日本版SOX法で注目される管理者の“管理”

システム管理者のサーバアクセスを「自動監査」、PFU新製品

2006/11/10

　PFUは11月10日、管理者権限による企業内サーバへのアクセスの履歴や内容を自動で記録する新製品「PFU アクセス制御・監査システム」を発表した。内部統制を義務付ける日本版SOX法（金融商品取引法の一部）では、「情報システムへの統制強化としてシステム運用が適切に行われていることを証明できることが重要」（PFU）といい、システム管理者のアクセスを管理する製品の需要が高まると見ている。

　システム管理者のアクセスを管理する製品は日本オラクルなども発表（参考記事）。職務分掌（Segregation of Duties：SoD）などと合わせて、内部統制構築におけるITシステムの1つの重点項目になっている。PFU アクセス制御・監査システムはシステム管理者のサーバへのアクセスと操作を記録。許可していないプロトコルでのアクセスや、サーバへのアクセスを制限する機能もある。

　加えてPFU アクセス制御・監査システムは、ポリシーをあらかじめ設定し、ポリシーから外れたアクセスや操作を監査項目として抽出する「自動監査」機能がある。設定できるポリシーはアクセス可能なサーバやプロトコル、運用時間帯、サーバログオンの成否、不許可IDの利用、不正操作など。PFUは「違反内容が自動抽出されるため、監査担当者は速やかに対処でき、システム監査の負荷を大幅に省力化できる」としている。

「PFU アクセス制御・監査システム」のアクセス記録一覧画面

　PFU アクセス制御・監査システムはアクセス監査ソフトウェアの「iNetSec Access Audit V1.0」と、トップレイヤーネットワークスのネットワーク認証機器「Secure Controller」で構成する。別に認証データベースとしてRADIUSサーバが必要。iNetSec Access Audit V1.0は「Red Hat Enterprise Linux ES 4」で稼働する。監査可能なサーバはSolarisとLinux。

　価格は350万円（税別）から。システム導入、運用サービスは個別見積もり。12月に出荷開始する。PFUは3年間で200システムの販売を目指す。

（＠IT　垣内郁栄）

情報をお寄せください：

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）