SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

IT Compliance Summit 2008 Summer セミナーレポ―ト

情報セキュリティとプログラム管理の観点から考えるリスク管理

事例に学ぶアクセスログを利用したIT統制とシステムの現状把握


「ITリスク管理」とひと言で言っても、その内容は、情報セキュリティ、事業継続、法令遵守、プログラム管理、ベンダー管理、IT戦略、そして社員教育など、多岐にわたっている。このようなITリスク管理の現状をいかに把握し、統制していくのか。プログラム管理と情報セキュリティという側面から、実際に企業が行っているIT統制とシステム管理の手法を学ぶ。

システムの運用側から統制を進めていくにはITILが最適

日揮情報ソフトウェア株式会社
技術本部 本部長
板垣睦伸氏
板垣睦伸氏

 顧客の事例を中心にITリスク管理について講演した日揮情報ソフトウェア 技術本部の板垣睦伸氏は、その現状について「最近は、認識、統制、改善、という3つのステップが非常に重要になりつつある。中でも統制が強化されている」と分析。顧客が導入している統制のフレームワークとして、COSO、COBIT、ITILなどを挙げたが、「システムの運用側から統制を進めていくにはITILのフレームワークが最も有効であろう」と指摘し、「実際に個々の企業では、ITILを基にして、それぞれに則したIT全般統制のプロセスをつくっている例を見る事が多い」と述べた。

 しかしながら、IT全般統制の成熟度モデル(CMM)で測ると、レベル2(プロセスが一部の部門で標準化され反復的に使用されているレベル)がほとんどである。そのような状況から、同社が薦める当面のゴールは、「レベル3(プロセスが企業レベルで組織化されて、定められているレベル)に置いている」と語った。

 同社が推奨しているのは、「可視化」である。板垣氏は、「成熟度を上げる為に標準化を繰り返し、改善していくことが必要」と訴え、「統制管理対象を可視化してつぶさに見える仕掛けが不可欠、また、対象は絶えず変化しているので、正確かつ迅速に実体をとらえなければならない」点を強調した。

静的情報と動的情報の両面から可視化へアプローチ

 プログラム管理の観点から見たリスクについて板垣氏は、「実際のシステムとドキュメントが不整合、システムが属人化しておりメンテナンスができない、従ってシステム改変時の影響範囲が不透明で、工数見積等のリスクも不正確になる」など、よくある問題に言及。そのため「システムの可視化が欠かせない」とした上で、その方法として「ソースコードとデータベースという動かぬ事実をツールによって解析し、データとアプリケーションの構造と関係を可視化する」ことを提案した。そのためのデータモデリングツールは、「モデルという可視化技術をベースに、その物理テーブルの属性等の情報を維持・管理していくところまで進化していている」と言う。

 上述のプログラム管理が静的な情報の可視化であるとするなら、不正アクセス、オペレーションミス、セキュリティとデータ管理者の分離、重要情報の集中化など、情報セキュリティ上のリスク情報の中で特にログ等の情報は動的なものと言える。これらの情報の可視化は、いかにして行うのか。

 板垣氏は初めに「アクセスログの重要性」を説く。その例として、データベースマネジメントシステムの危険性を挙げる。確かに、アプリケーションやデータベースには多くの人がアクセスする。これらのログを収集する場合、さまざまな方法があるが、板垣氏が取り上げたのは、パケットキャプチャ型の同社の製品「Chakra」。システムからは完全に独立しており、ネットワーク上を流れるデータベースのパケットをロギングしていく。問題がある場合は、管理者への通知やセッションの切断など、アラートを通知する。「Chakra」を導入してデータベースでの内部統制を行った事例として、韓国国民銀行のシステムが紹介された。

 この他、重要な情報が格納されることが多いWindowsサーバー環境におけるセキュリティ情報を把握し、かつレポートを作成するツール「Enterprise Security Reporter」などの解説も行われた。

 最後に板垣氏は、「技術や製品だけでなくプロセスも重要であり、トレーニングによる知識の習得やリスクに対する意識の向上も必要」とアピールし、締めくくった。

資料ダウンロード

【関連リンク】
日揮情報ソフトウェア株式会社

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
IT Compliance Summit 2008 Summer セミナーレポ―ト連載記事一覧

もっと読む

この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/699 2008/10/01 17:40

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング