Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

実例に学ぶリスクの見える化と最小化方法

  2008/09/12 21:49

「IT資産を見える化したい」、しかも「コストはできるだけ抑えたい」という要望は少なくない。その背景には、コンプライアンスやセキュリティ上のリスクに対する問題がある。つまり、IT危機管理の台帳(あるべき姿台帳)はあっても、現状との乖離が大きい。また、山積する個々の問題解決を図っていたのではコストは増大する一方である。どのような対策が相応しいか。実例を基に具体的なアプローチが紹介された。

把握できないIT資産を見える化する

ダイキン工業株式会社
電子システム事業部 第二部 IMSグループ 課長
北西宏章氏
北西宏章氏

 ダイキン工業は、25年前から「見える化」と取り組んできた。当初は空調機器開発における気流の流れの見える化であったが、コンピューターのダウンサイジング化やネットワークのスイッチング化などで、「ネットワークを見える化したい」という顧客が急増した。そこで、この10年ほどは、そのようなニーズに応えている。さらに近年では、情報セキュリティや内部統制への対応が一段と求められる中で、自社のIT資産を全数把握した上で、漏れなく確実な対策を実行したいというニーズが急増。「ネットワークの見える化」から「IT資産の見える化」へ、ソリューション領域を拡大している。

 「事例に学ぶ見える化と最小化手法」と題して講演した同社 電子システム事業部 北西宏章氏は、初めにコンプライアンスやセキュリティ上のリスクの例として、ライセンス管理の不備、セキュリティ対策漏れ、返却や廃棄の不徹底による情報漏えい、不正PCの接続など、多くの課題を列挙。その理由として、「あるべき姿台帳と現状の差異が大きい上、その差異が把握できていない」と分析した。実態として、情報セキュリティ対策を導入しても時間と共にその適用率が乖離していく例を挙げ、IT機器などのモノが企業の中に入ってから廃棄されるまでのライフサイクルを示し、「把握できないIT資産が存在している」と指摘。中でも最も大きな問題は、「利用者変更、場所変更、部署変更などの『移動/変更』フェーズにあり、また資産購入時や廃棄時の台帳記載漏れが把握しずらいのも問題」とした上で、「最終的にはリスクの棚卸しを行って現状との乖離をアウトプットする必要がある」と述べた。

 しかしながらツールを導入しただけでは総合的な管理はできない。漏れなく資産情報を収集するシステムが必要とされる。また、対策導入後も、対策とリスクとのバランス、対策の効率・効果、国内外のグループへの展開などが、改善のための検討課題となる。北西氏は、「対策導入後、コストがどれくらい掛かったか、またこれから掛かるか、そこまで定量的にデータを検討しておく必要がある」と話す。

運用負荷を上げずに総合的に見える化

 上記のような課題を踏まえ、1つのソリューションとして、北西氏は「製造業A社の導入事例」を紹介した。

 このA社は、PC20,000台規模の企業で、情報漏洩問題が発生したため、不正接続禁止を主とする情報管理対策を講ずる必要があった。現状を調べてみると、全社のIT機器を把握する仕組みがなく、ワークフローは紙ベースであり、人力で処理していた。また、各種申請業務ごとに担当者や台帳が散在しており正規のデータがない、集中購買ではあるが部門購入については不明、PCの廃棄申請書がほとんど運用されていない、といった問題を抱えていた。

 この現状に対して、あるべき機器台帳を整理して精度を維持する仕組み、不正接続を防止するセンサーの導入、担当者の運用負担をできるだけ少なくするためワークフローの電子化、不正機器防止のみならず今後インフラ基盤へ拡張できることなどの検討が行われた。その結果、ネットワーク上の全接続機器・分類情報を収集する PNDDA、インフラを統合管理するEQWAC、そして不正接続防止センサーなどで構成されるシステムが構築された。

 北西氏は、それぞれのシステム構成要素の詳細について説明し、「これによって、運用負荷を上げずに、コンプライアンスやセキュリティ強化の基盤ができたことはもちろん、総合的に運用の見える化が実現した。今後は機器のライフサイクルを通して情報管理の精度維持が追加投資なしに対応可能になった。また基盤の拡張も容易である」とその成果を語る。

 最後に北西氏は総合的な見える化のポイントとして、「運用業務自体の見える化」「対策の維持に投資が不要」「インフラ基盤としての拡張性」の必要性を強調し、セッションを終えた。


 

資料ダウンロード

【関連リンク】
ダイキン工業株式会社



著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

バックナンバー

連載:IT Compliance Summit 2008 Summer セミナーレポ―ト

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5