システムの運用側から統制を進めていくにはITILが最適
技術本部 本部長
板垣睦伸氏
顧客の事例を中心にITリスク管理について講演した日揮情報ソフトウェア 技術本部の板垣睦伸氏は、その現状について「最近は、認識、統制、改善、という3つのステップが非常に重要になりつつある。中でも統制が強化されている」と分析。顧客が導入している統制のフレームワークとして、COSO、COBIT、ITILなどを挙げたが、「システムの運用側から統制を進めていくにはITILのフレームワークが最も有効であろう」と指摘し、「実際に個々の企業では、ITILを基にして、それぞれに則したIT全般統制のプロセスをつくっている例を見る事が多い」と述べた。
しかしながら、IT全般統制の成熟度モデル(CMM)で測ると、レベル2(プロセスが一部の部門で標準化され反復的に使用されているレベル)がほとんどである。そのような状況から、同社が薦める当面のゴールは、「レベル3(プロセスが企業レベルで組織化されて、定められているレベル)に置いている」と語った。
同社が推奨しているのは、「可視化」である。板垣氏は、「成熟度を上げる為に標準化を繰り返し、改善していくことが必要」と訴え、「統制管理対象を可視化してつぶさに見える仕掛けが不可欠、また、対象は絶えず変化しているので、正確かつ迅速に実体をとらえなければならない」点を強調した。
静的情報と動的情報の両面から可視化へアプローチ
プログラム管理の観点から見たリスクについて板垣氏は、「実際のシステムとドキュメントが不整合、システムが属人化しておりメンテナンスができない、従ってシステム改変時の影響範囲が不透明で、工数見積等のリスクも不正確になる」など、よくある問題に言及。そのため「システムの可視化が欠かせない」とした上で、その方法として「ソースコードとデータベースという動かぬ事実をツールによって解析し、データとアプリケーションの構造と関係を可視化する」ことを提案した。そのためのデータモデリングツールは、「モデルという可視化技術をベースに、その物理テーブルの属性等の情報を維持・管理していくところまで進化していている」と言う。
上述のプログラム管理が静的な情報の可視化であるとするなら、不正アクセス、オペレーションミス、セキュリティとデータ管理者の分離、重要情報の集中化など、情報セキュリティ上のリスク情報の中で特にログ等の情報は動的なものと言える。これらの情報の可視化は、いかにして行うのか。
板垣氏は初めに「アクセスログの重要性」を説く。その例として、データベースマネジメントシステムの危険性を挙げる。確かに、アプリケーションやデータベースには多くの人がアクセスする。これらのログを収集する場合、さまざまな方法があるが、板垣氏が取り上げたのは、パケットキャプチャ型の同社の製品「Chakra」。システムからは完全に独立しており、ネットワーク上を流れるデータベースのパケットをロギングしていく。問題がある場合は、管理者への通知やセッションの切断など、アラートを通知する。「Chakra」を導入してデータベースでの内部統制を行った事例として、韓国国民銀行のシステムが紹介された。
この他、重要な情報が格納されることが多いWindowsサーバー環境におけるセキュリティ情報を把握し、かつレポートを作成するツール「Enterprise Security Reporter」などの解説も行われた。
最後に板垣氏は、「技術や製品だけでなくプロセスも重要であり、トレーニングによる知識の習得やリスクに対する意識の向上も必要」とアピールし、締めくくった。
【関連リンク】
・日揮情報ソフトウェア株式会社
