PFUが提供しているセキュリティプロダクト「iNetSec」は、特定の製品やベンダーに偏らない形で、企業のセキュリティと内部統制強化を支援する。その最新製品「PFU アクセス制御・監査システム iNetSec Access Audit」は、監査を通じて安心・安全なネットワークをプロアクティブに実現していくツールだ。
ネットワークは企業にとってビジネスに不可欠なインフラである。ビジネスを円滑に進めるために、その「安心、安全」の確保は大きな課題だ。これに対しPFUでは「iNetSec」というブランドの下、「安心、安全なネットワーク環境の実現」を目的にセキュリティソリューションを展開し、検疫ネットワークやフォレンジックといった製品を通じて「安心・安全」の構築を支援している。
昨今、個人情報保護法の施行やWinnyを通じた情報漏えい事件などが報じられ、セキュリティに対する注目はかつてないほど高まってきた。この結果、市場にあまりに多くの「セキュリティソリューション」がひしめいている状態だ。その中でiNetSecには、ほかの製品には見られない2つの大きな特徴がある。
1つは、特定の製品やベンダーに偏ることのないソリューション展開だ。Cisco SystemsのNAC(Network Admission Control)、802.1x準拠認証スイッチ、Toplayer NetworksやAruba、日立電線など、マルチベンダーのさまざまな機器に対応している。多種多様なネットワーク環境に合わせ、特定のベンダーに縛られることのない柔軟なシステム構成が可能なため、既存の資産や投資を無駄にすることもない。
また、一般に「ネットワーク」のインテグレーションと「システム」のそれとでは担当が別々に分かれることが多い。しかしPFUでは、ソフトウェアとネットワーク、システムにまたがるトータルな対応力やノウハウを培ってきた。「アプリケーションは別」「ネットワークは分からない」といった縦割り型の対応ではなく、パートナーも含めた形で、ワンストップでユーザーのニーズに応じる体制が整っていることも、もう1つの特徴である。
このiNetSecシリーズの最新製品が、11月にリリースされた「PFU アクセス制御・監査システム iNetSec Access Audit」だ。
日本版SOX法や個人情報保護法によって、企業には今まで以上に内部統制の強化が求められている。内部統制の確立においては、「システムが適切に運用されていること」の証明、すなわち「システム監査」が重要な要素となるが、PFU アクセス制御・監査システム iNetSec Access Auditは、管理者権限によるサーバアクセスや各種操作の内容を記録し、監査を行う仕組みを実現する。
メンテナンスなどのシステム運用上、管理者はどうしても最上級の権限を持たざるを得ない。しかし「ここがリスクになってしまう。管理者権限によるアクセスが正しくなされているかを監査できる仕組みが必要だ」と、PFUのソフト・アプライアンスグループ、ソフトウェアプロダクト事業部第三開発部プロジェクトリーダーの大浴孝治氏は述べている。
最近では、企業はコアコンピタンスに集中し、システムの運用、開発は外部に委託するケースも珍しくない。また、一口にシステム管理者といっても、開発担当と保守・運用担当とでは別のチームが担うこともある。そうした状況で、開発担当者が勝手にシステム設定を変更してしまったり、運用担当者が、本来ならば必要のないデータにアクセスしてしまうようなことがあれば大きな問題だ。この部分を監視、監査することで、内部統制を実現していくことがポイントになる。
これはアウトソーシングを行う側にとっても、自らが適切な運用を行っていることの「証明」につながる。また、アクセス制御により、不注意によるオペレーションミスを防ぐという効果も得られる。
PFU アクセス制御・監査システム iNetSec Access Auditでは、ネットワーク経路上に置かれた認証装置を通じて基幹サーバに対するアクセス制御を実施するとともに、いつ、どの端末からアクセスがあり、どういった操作が行われたかを記録する。TelnetやFTPに対応しており、ログイン状況だけでなく、権限変更やファイル操作など、そのセッション中にどういった操作が行われたかをコマンドレベルで詳しく把握し、分析することができる。
特徴の1つは、既存のネットワーク構成やシステムに大幅な変更を加えることなく導入できることだ。また、ただログを保存して終わるのではなく、監査の部分にまで踏み込んでいることもほかでは見られない点といえる。アクセス・操作ログに分析を加え、危険な行為について監査を行うことで、システム管理者とは独立した第三者が操作の正当性をチェックできるうえ、システム監査の工数を減らすことができる。
大浴氏は、今後の企業には、事前にリスクを排除するプロアクティブなセキュリティ対策が求められると述べる。「ただログを取っておき、何かが起こったら検索するという時代は終わった」(同氏)。
「内部統制の実施基準の公開草案」を紐解くと、アクセス制御・監査がIT統制構築に有効かつ重要な要素であることがわかる(詳しくはページ巻末からダウンロードできるホワイトペーパーを参照)。リスクの高いオペレーションを常に監視し、システムに反映していくというライフサイクルを通じて、セキュリティや内部統制の強化につなげていくことが可能になる。それを実現するのがPFU アクセス制御・監査システム iNetSec Access Auditなのだ。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社PFU
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2007年2月16日