- 2008/08/05 掲載
認証、アクセス管理、ログ管理、RSAの3種の神器で実現するIT統制の現実解【IT統制実践セミナー】
2008年7月23日開催 「なかなか聞けない他社の事例から学ぶ IT統制実践セミナー」レポート
日本版SOX法をはじめ、昨今の企業が対応すべき法律・規制・ガイドラインは広範に渡る。こうしたコンプライアンスを実現するには、効果的なIT統制を実現しなければならない。7月23日に東京・六本木の東京ミッドタウンで行われた「なかなか聞けない他社の事例から学ぶ IT統制実践セミナー」では、IT統制を支えるセキュリティ基盤の構築を、「認証」「アクセス管理」「ログ管理」の3つのポイントから読み解くとともに、さまざまな実践導入事例が紹介された。
企業におけるSOCの必要性
|
きちんとセキュリティ対策を実施していても、インシデントが発生することもある。そうした場合の対応のコツが、「迅速・誠実・具体的」である。さらに再発防止策として、ルールの改善、啓蒙活動、ツールの導入などを検討することも必要だ。ただし、ルールの変更は厳しすぎず、セキュリティリスク、利便性、コストのバランスから考える。これも時代とともに変化するため、継続的に見直すべきだという。このような防止策と同時にログイベントマネジメントも進める。ここでは、さまざまなシステムの膨大なイベントやログから因果関係をとらえて分析することが重要だ。そこで森氏は、SIEM(Security Information & Event Management)ソリューションの導入を推奨している。ログ統合と集中管理が可能になり、監視効果・効率性の向上、コンプライアンスの遵守、セキュリティ機能の拡張が期待できるという。
ニコンのワールドワイドでの取り組み支えるSSO導入事例
 |
|
ニコン インターネットビジネス推進部 マーケティングマネージャ 川浪隆司氏 |
|---|
 |
|
ニコンシステム 第三システム本部 第四開発部 部長 青木大介氏 |
ニコンシステムの青木大介氏は、課金の認証基盤構築時の要件について言及。my Picturetownは、ニコン初のグローバルサービスで、課金については各国の法体系に則ってシステムを構築した。そのため、バックエンドは複数のシステムにまたがる。これらのログイン認証において、あたかも1つのサイトでサービスを受けられる環境が必要だった。
そうした中、各国の決済システムとの安全で確実な連携を目指すうえで選んだのが大規模なB2Cでの実績があるWebアクセス制御製品「RSA Access Manager」である。導入後は性能も課金システムとの連携でも満足しているという。今後は会員数の増加による性能の影響への対処と、セキュリティレベルの維持が課題だという。
多層型認証強化ソリューションで、リスクに応じたセキュリティを
 |
|
RSAセキュリティ エンタープライズ営業本部 オンラインセキュリティ営業部 シニアセールスマネージャー 三井 智博氏 |
|---|
そこでRSAセキュリティでは、フィッシングサイトの高速シャットダウンサービス「RSA FraudAction」と、多層型の認証強化ソリューション「RSA Adaptive Authentication for Web」を提供。これらはオンライン犯罪対抗ネットワークとつながり、重要情報を世界レベルで共有している。
RSA FraudActionは、同社の不正対策センターで報告を受けたサイトを5時間以内にシャットダウンできるサービス。最近はフィッシングサイトの検知サービスも開始したという。一方、RSA Adaptive Authentication for Webは、セキュリティとユーザービリティの両立を考えたサービスだ。リスクベース認証、ユーザーによるサイト認証、OTP(ワンタイムパスワード)認証をリスクに応じて柔軟に提供する。三井氏は、みずほ銀行やマネックス証券の事例を紹介。またOTPとして「RSA SecurID」を採用したジャパンネット銀行や、OTP認証のASPサービス、OTP認証と社内システムの連携などについても触れた。
Identity & Access管理を中心としたマイクロソフトの情報保護のアプローチ
 |
|
マイクロソフト サーバープラットフォーム ビジネス本部 Windows Server製品部 プロダクトマネージャ 田中啓之氏 |
|---|
同社では、Windows Server 2008の「Active Directory」(AD)サービスによって、IDAに関連する各種サービスを連携させる方向を打ち出している。ADサービスを基盤とする情報保護機能としては、ファイルの作成から受け渡しまでは暗号化を行い、ファイル受け渡し後は「Active Directory Rights Management」(AD RMS)サービスによってデータ利用の制限を提案。これにより未権限ユーザーの印刷を禁止したり、メール転送を禁止したり、書類の有効期限を設定して、社外での機密情報の流通を食い止められる。
その一方で、ID管理に関しては「Identity Lifecycle Manager 2007」(ILM2007)で、ユーザーアカウントのライフサイクルを自動的に管理しようという考えだ。ILM2007には、ID同期・ユーザープロビジョニング機能と、証明書・スマートカードに管理機能があり、ID/証明書の統合管理環境を実現できる。まもなく新バージョンのILM2(RC版)も登場する予定だという。最後に田中氏は、ADやILMとの連携として、RSA Access Managerを利用したSSO環境とクライアントの二要素認証の構成についても言及した。
RSA製品で実現した自治体における強固なWindowsログオンとSSO環境
 |
|
RSAセキュリティ 大阪営業所システムエンジニア 梅木和年氏 |
|---|
そこで梅木氏は、強固なWindowsログオンとSSO環境によるセキュリティ基盤の構築を提案したという。具体的にはユーザー認証にRSA SecurID、アクセス管理にRSA Access Managerを採用。さらに将来に向け、外部機関との連携を可能にするドメイン連携(SAML2.0)も考慮した。これらの施策により、認証強度の大幅な向上と、Windowsログオン認証後のSSOが可能になり、Webアプリケーションの利便性も高まったという。
リスクマネジメントとして注目を浴びるログ統合管理基盤
 |
|
住商情報システム IT基盤ソリューション事業部 基盤インテグレーション第3部 セキュリティソリューション第1チーム 課長 石川光春氏 |
|---|
さらに国内導入事例として、ある流通事業者の動向をピックアップ。2008年上期まではフェーズ1として日本版SOX法対策の一環で経理システムのログ管理などに対応し、現在稼働中だという。2008年下期からは「無理なく実現できるレベル」から運用・体勢を整備していく方針のもと、情報漏えい対策を実施していくという。本事例におけるPDCAに基づく運用フローなども合わせて紹介した。
※
セミナー自体は、IT統制をテーマに事例を数多く取り上げたこともあり、来場者の関心が極めて高く、一時立ち見が出るほどの盛況ぶりだった。
 |
東京・六本木の東京ミッドタウンで行われた
「なかなか聞けない他社の事例から学ぶ IT統制実践セミナー」。 会場は来場者で埋め尽くされた |
|---|
関連コンテンツ
関連タグ
タグをフォローすると最新情報が表示されます
関連コンテンツ
あなたの投稿
PR
PR
PR
