ITインフラを統合し、ITセキュリティインフラとして全体最適化を
企業のITコンプライアンスを取り巻く環境は大きく変化している。新たなテクノロジーの登場とともに、新たな問題や脅威が登場し、法規制への対応も課題の1つだ。しかし、ビジネスへの潜在的な影響は大きく、生産性低下や経費の増大、見えないコストがかかり、財務的パフォーマンスや収益の妨げになることもある。もちろん企業イメージへのダメージも無視できない。
このように様々な事象が常に変化し、影響が増大しつつある中で、コンプライアンス対応を担うCIOには絶妙な舵取りが求められる。リターンの最大化を図りつつ、リスクを管理し、俊敏性やパフォーマンスなどにも気を配らなくてはならない。さらにITインフラのアウトソースも進み、形が見えない状況になるなかで、ITセキュリティ投資の意義をしっかりと認識することが重要となる。
つまり、ITシステムを攻撃から守るための予防措置から、法令遵守、説明責任、リスクマネジメントとして、さらには業務やビジネスを迅速に遂行するためのバックボーンとして捉えるべき時期にきているというわけだ。そのため、榎本氏は、「ITセキュリティにおける戦略的視点をリアクティブからプロアクティブに変更する必要がある」と指摘する。そして、製品指向からプロセス指向への転換も欠かせないという。
こうした状況から、榎本氏は、各サービスごとに存在したITインフラを統合し、ITセキュリティインフラとして全体最適化することの意義を説明する。この対応策について、HPはシンプルな「HPセキュリティフレームワーク」を打ち出している。セキュリティポリシーやガバナンスについて考え(セキュリティ・プランニング&ガバナンス)、そのもとにIDを管理し(アイデンティティアクセス・マネジメント)、各システムからのインシデントを統合的に管理する(プロアクティブ・セキュリティ・マネジメント)。さらに、その下にクライアントやネットワーク、サーバー、データベースなどの暗号化や権限管理などを実装していく(トラステッド・インフラストラクチャ)。
ITコンプライアンスの要求事項の重複分を大幅に削減する「UCFフレームワーク」
ITコンプライアンスにおいて、企業を悩ませる要因の1つとして、対応すべき法令が多数登場していることが上げられる。特に各法令の要求事項には実は重複するものも多く、表現が異なっているだけで同じことを指している場合も多い。
要求事項を体系的に整理することで最適化し、全体の要求事項の数を大幅に削減するNANAROQのUCF(Unified Compliance Flamework)となる。本ソリューションは米国のITコンサルティングファーム「Network Frontiers LLC」と世界的に知られる法律事務所「Latham&Watkins LLP」の協働によって開発されたフレームワークであり、業界別の規定や法令、国際規格などのIT統制に関する要求項目を最適化し、平均して40%ほどに削減することができるという。たった1枚のエクセルシートに収まる項目で、すべてのコンプライアンス業務への対応を進めていけばよい。結果、社内のコンプライアンス文書の重複を防ぎ、不要な文書を廃止することができるなど、効率化によるコストや手間の大幅な削減へとつなげることができるというわけだ。
既に海外では、マイクロソフトをはじめ多数の企業が導入しており、UCFフレームワークを活用したサービスや製品が数多く開発されており、日本HPでは、Network Frontiers のパートナーであるNANAROQとの提携により、UCFサービスを提供していくという。近いところでは、コンプライアンス対応において重複している可能性のある事項を抽出する「コンプライアンス診断サービス」の提供が予定されている。
HPのITコンプライアンス統合と、カギとなる「全般統制のためのログ管理」
HPでは、EA(Enterprise Architecture)プログラムを6つのレイヤーに階層化し、さらに各レイヤーを約200のドメインに分けて管理している。基本ITガバナンスとEAは一体化しており、セキュリティは共通の原則として対象やレベルを明確化し、ライフサイクル全般において定義され、内部監査も実施される。さらにこの定義によって、IDパスワードの最小化などITアーキテクチャが明確化され、実装される。こうした自社で有効性を確認した仕組みが、セキュリティ・サービスとして提供されるというわけだ。
なお、コンプライアンスの統合において、評価や監査に必要となるログの管理は重要なポイントだ。内部統制において、業務処理統制、IT業務処理統制、IT全般統制、そして全社統制の順に広義となるなら、依拠する統制を先行して評価し、その評価結果が良好ならば、続く被監査対象に対する監査手続きを緩めることが可能になるという。つまり、ログの統合管理により統制を強化することができるというわけである。ただし特権ユーザ操作などのデータ改ざんへの対応など、慎重なオペレーションが不可欠であり、業務処理ログと全般統制のためのログの両方を統制していくことが求められる。当然、保管するだけでなく、ログに対してのモニタリングが重要となる。
しかしながら、膨大なログをモニタリングしていくことはコストも手間もかかる大変な作業だ。つまり、効率的に的確にコンプライアンス統合を行っていくためには、このモニタリングシステムの効率的な運用システムの構築がカギとなる。
この要件に対して、HPが提供する答えとして最後に「統合ログ管理ソリューション」が紹介された。各システムごとに管理されていたログの仕組みを切り離し、新たに統合ログプラットフォームを構築し、運用管理することで「統合ログ管理」を実現するというもの。段階的な導入が可能であり、柔軟性に優れ、証跡化や分析力の面でも優位性が高いという。
また、ログ管理の重要なポイントとなるID管理についてのソリューションとして HP IceWall SSOも紹介された。多彩な機能や処理性能、信頼性もさることながら、日本で開発されたことにより、日本の組織にあった運用管理が可能だという。最後に、こうしたソリューションが、HPが自社のITセキュリティ対策の方針をベースとしたフレームワークを用いた、「実績ある」ものであることが強調され、セッションが締めくくられた。
