IT統制のための三種の神器、その使い方を他社の事例から学ぶ

RSAセキュリティ マーケティング統括本部 本部長 宮園 充氏

　個人情報保護法、新・会社法、不正競争防止法など、近年、企業を取り巻くさまざまな法律や規制が施行されている。すでに2008年度事業年度からは金融商品取引法が施行され、その対応が多くの企業にとっての喫緊の課題となっている。それには、企業の内部統制を実現するためのIT活用・IT統制が重要な鍵を握る。とりわけ、ITの安全性を確保するためのセキュリティ基盤の構築は、すべての土台となるだけに、最優先で取り組むべき課題である。

　このセキュリティ基盤の構築には、「認証」「アクセス管理」「ログ管理」の3つの要素が必要である。「認証」はシステムにアクセスした人物が本人であることを保証すること。「アクセス管理」はシステムにアクセスした人物がシステムに対して実行できる処理を制御すること。「ログ管理」は誰がいつ何を行ったかを記録し、それを分析・解析することである。

　この3つの要素は、どれか1つが欠けてもセキュリティを確保することはできない。たとえば、仮にログをすべて記録しても、認証が不十分であればログが正しいかどうかを保証できない。あるいは、適切な認証が行われていても、アクセス管理が不十分ではシステムの信頼性そのものが崩れてしまう。

　RSAセキュリティでは、3つの要素に対応する具体的な製品・ソリューションを「三種の神器」として提案し、さまざまな企業に採用されている。

　たとえば、認証の分野では、ワールドワイドでのシェアが70％に達するデファクトスタンダード「RSA SecurID」という製品が用意されている。これは、「ワンタイム・パスワード」によって認証を強化する製品。ワンタイム・パスワードは、一定時間ごとにパスワードを自動生成し、認証の強度を上げる技術のことだ。仮にパスワードが漏洩してもすぐに無効になるため、固定パスワードよりも高いセキュリティを確保できる。実際に、インターネットバンキンクなどで利用している方も多いはずだ。

　また、アクセス管理では「RSA Access Manager」、ログ管理では「RSA enVision」という製品を用意し、企業のセキュリティ基盤構築の要請に対し、万全の体制を敷いている。

RSAセキュリティの提供する「三種の神器」

　ただし、まだまだ多くのユーザーは、セキュリティに対し「コストも手間もかかるわりにメリットが少ない」という負のイメージを抱いているのも事実だ。しかし、実際はそうではないと、宮園氏は強調する。

　「三種の神器で実現されるセキュリティ基盤は、企業が安心して前に進むための土台なのです。むしろ、セキュリティ基盤が整っていない中でビジネスを行うことがいかに危険なのか、もっと多くのお客様に知っていただきたいと思います」（宮園氏）


　RSAセキュリティの歴史を振り返れば、その技術がいかに信頼性の高いものであるかがわかる。今回のセミナーでも、RSAの高い技術力が、豊富な事例とともに紹介される予定である。

　たとえば、ニコンの事例では、エンドユーザーに写真の楽しみ方を提案するポータルサイト「my Picturetown」で採用されたシングルサインオン技術が紹介される。 ユーザーの利便性を向上し、Webサイトへの安全なアクセス環境を確保したい企業には格好のサンプルとなるだろう。

　また、住商情報システムの事例では、ログ管理ソリューションが取り上げられる。企業内システムを構成するさまざまな機器からログを収集・分析するテクノロジーはもちろん、「ログ管理導入のきっかけは何だったのか」、」「上層部をどう説得したか」、「導入で何が変わったか」といった、通常は聞くことのできないリアルな情報も披露される予定だ。

　認証とアクセス管理関連では、自治体の事例が紹介される。職員のデスクトップPCへのログイン時にワンタイム・パスワードを利用することで、強固な認証とユーザーの利便性を両立した事例だ。学校や官公庁で同様のシステムを検討されている方には、特にチェックしてほしい内容である。

　その他にも、セキュリティ関連の最新マーケット情報、さまざまな技術情報も披露される予定となっているので、情報収集を目的に来場されても価値は高いだろう。

　最後に、セミナーの見所について、宮園氏に改めて伺った。

　「すでに課題を持っているお客様であれば、具体的な課題解決のヒントが必ず見つかると思います。セキュリティの必要性を漠然と感じてはいても、どこから手を付ければよいか分からないというお客様であれば、アプローチの方法やヒント、考え方を感じていただけるでしょう。内部統制のためのIT統制といっても、現実にはどこから手を付けたらよいのか、まだまだよくわからないというお客様が多いのが現実です。今回のセミナーでは、通常はなかなか知ることのできない他社の事例をご覧いただけますから、セキュリティへの何らかの取り組みを検討されているなら、企業規模の大小に関わらず何らかのヒントを得ていただけると思います」

　インターネットの歴史を支えてきたRSAセキュリティだからこそ、語られる内容には、よりいっそうの重みが感じられるはずだ。ぜひセミナーに参加して、それぞれのヒントを持ち帰ってほしい。

	なかなか聞けない他社の事例から学ぶIT統制実践セミナー開催！
	日本版SOX法を筆頭に企業が対応すべき法律・規制・ガイドラインは様々です。コンプライアンスの実現に不可欠なITの活用においてIT統制を実現することは喫緊の課題となっています。IT統制を支えるセキュリティ基盤の構築を、認証強化、アクセス管理、オンライン脅威対策、ログ管理など、具体的な実践例を交えながらご紹介します。受講料は無料となっておりますので、ぜひご来場下さい。 イベント名　：なかなか聞けない他社の事例から学ぶ IT統制実践セミナー 　　　　　　～IT統制を支える3種の神器「認証」「アクセス管理」「ログ管理」～ 開催日時　：2008年7月23日(水)　13：30～17：15　（受付開始 13：00～） 会場　　　　：東京ミッドタウン　ホールB（ミッドタウンイースト　B1F) 主催　　　　：RSAセキュリティ 後援　　　　：マイクロソフト 協力　　　　：ソフトバンク クリエイティブ