セキュリティポリシーは守られている？ シマンテックがポリシー監査ツールの最新版

セキュリティポリシーを運用していくには監査の視点が欠かせない――シマンテックは、セキュリティポリシー監査ツール「Symantec Enterprise Security Manager 6.5」を発表した。煩雑な監査を自動化することで、企業のコンプライアンスを支援する。

[堀哲也，ITmedia]

　シマンテックは4月19日、セキュリティポリシー監査ツールの最新版「Symantec Enterprise Security Manager 6.5」（ESM）を発表した。個人情報保護法や日本版SOX法などITに対するガバナンスが企業にとって待ったなしの課題となっているが、ポリシー監査を自動化することでこれを支援する。

「ポリシーの徹底という点で監査の視点が抜け落ちている」とシマンテック リージョナルプロダクトマーケティングマネジャーの金野隆氏

　ESMはセキュリティポリシーのPDCAサイクルを効率的に回すことを支援するソフト。クライアントPCやサーバにエージェントを導入して、ポリシーが順守されているかを監査。専用のコンソールを通じてマネージャからエージェントへポリシーを配布したり、監査結果を確認できる。HTML形式でレポートを出力することも可能だ。監査対象とできるのは、Windows、Linux、Solaris、HP-UX、AIXなど。

　最新版では、これまで2000項目程度だったチェック項目を3300以上にまで拡張したほか、新たにネットワークアセスメントモジュールを提供し、ネットワーク脆弱性評価も行えるようにするなど強化を図った。また、新たに「Oracle 10g」「Microsoft SQL Server」「Microsoft Exchange Server」の監査も可能にした。

　複雑なポリシー設定を助けるものとしては、ポリシー評価テンプレートも用意。米SOX法（米企業改革法）やHIPAA（医療保険の携行性と責任に関する法律）、グラム・リーチ・ブライリー法（米国金融制度改革法）などが中心だが、日本の個人情報保護法や情報セキュリティマネジメントシステム（ISMS）などに対応するテンプレートもコンサルティングサービスを通じて提供する。

　2005年に施行された個人情報保護法をきっかけにして、セキュリティポリシーを策定した企業は多い。しかし情報漏えい事故は後を絶たたず、効力のあるものとして運用されているかには疑問符が付く。シマンテック リージョナルプロダクトマーケティングマネジャーの金野隆氏は「ポリシーの徹底という点で監査が抜け落ちているのも事実。実際には細かな管理・監査項目があり、これをすべてチェックするのは手作業では工数が掛かりすぎる」と指摘。これら作業を自動化することで、全社レベルでのポリシー徹底を支援するという。

　シマンテックのパートナー各社を通じて4月24日から出荷する。