N+I 特集
統合的なセキュリティソリューションをITコンプライアンスの観点から見せる
ネットワーク、インフラ、認証基盤、アプリケーションと、あらゆるレイヤーをカバーする統合的なソリューションを提供する京セラコミュニケーションシステム(KCCS)。NetWorld+Interop Tokyo 2005では、ITコンプライアンスという考えに立ってセキュリティを再考するとともに、同社のソリューションによってどのようにITコンプライアンスを実現していくか紹介していく。
人と情報とネットワークの3つを
トータルで考える
KCCSのセキュリティソリューションは、ネットワーク/認証/アプリケーションを含む統合的なセキュリティを目指している。KCCSは、企業活動における重要な資産である組織内部の情報を守るために、ユニークで効果的なソリューションを幅広く提供している。
具体的なプロダクトとして、ID管理の「GreenOffice Directory」、認証基盤の「NET BUREAU」、クライアント検疫「NET BUREAU POLICY ENFORCER」、脆弱性管理「nCircle IP360」、変更監査/復旧では「Tripwire」など。ネットワーク、インフラ、認証基盤、アプリケーションと、あらゆるレイヤーをカバーする統合的なソリューションだ(図)。
こうしたセキュリティソリューションにおけるコンセプトを、KCCSセキュリティ事業部技術部長の郷間佳市郎氏は次のように述べる。
「人と情報とネットワークの3つの観点からトータルにセキュリティを考えていくというのが、当社のセキュリティソリューションのコンセプトです。たとえば、“人”の観点ではID管理があります。どんなユーザーがいるのか、それぞれがどのような権限を有しているのかを管理することは、セキュリティの基本です。また情報を守るためにどうすべきか、あるいは強固なネットワークインフラを構築するために何が必要かなど、さまざまな観点やレイヤーからソリューションを提供しています」(同氏)。
京セラコミュニケーションシステムセキュリティ事業部技術部長(テクニカルディレクター)の郷間佳市郎氏は、3つの観点からトータルにセキュリティを考えるべきだと述べる
さらに郷間氏は、セキュリティ対策をもう一度、プロダクトの視点から見直す必要があることを強調する。
「セキュリティは、プロダクトでなくプロセスが重要ということがいわれてきました。これは確かに正しい。しかし、理想的なプロセスを掲げてもプロダクトへのブレークダウンがないため、現場でどう設計・運用したらいいか分からない。その結果、不十分な対策になってしまっているという現状が多々あります。プロダクトにフォーカスしたプロセス構築というところにあえて立ち返ることも必要な時期に来ているのではないか」という考えからだ。
ITコンプライアンスにフォーカスして
メッセージを発信
コンプライアンスという言葉に高い関心が集まっている。
コンプライアンスは法令遵守と訳される。SOX法(企業改革法)や業界それぞれにITに関するレギュレーションが制定されている米国では遵守する法律が明確であり、多くの企業が積極的にITコンプライアンスに取り組んでいる。この結果、セキュリティレベルの底上げが実現しているのだ。日本でも個人情報保護法が施行されたこともあり関心が高まっている。
「法令遵守という観点でITコンプライアンスを考えたとき、何かを禁止することによって守るということに意識が向かいがち。事業継続性が重要な企業にとって、社員の利便性を阻害するような制限を設けることは大きなデメリットになりえます。法令遵守のための規制と利便性のバランスが重要であり、ITコンプライアンスではルールに従っているかどうかをユーザーに認識させる仕組みと、従っていない場合の強制力の行使を別に考える必要があります」。郷間氏はITコンプライアンスの基本的な考え方をこう述べる。
ITコンプライアンスの要素について同氏は、情報資産へのアクセスコントロールと、そのプラットフォームであるITシステムのコンフィグレーションマネジメントだという。アクセスコントロールにはポリシーに基づいた通信制御、認証、エンフォースメント(検疫)といった要素が、コンフィグレーションマネジメントには構成管理、脆弱性管理、インシデント管理といった要素がある。
「構成管理や脆弱性管理、インシデント管理されたITインフラを監査した結果と基準(法令やセキュリティポリシー)との差分をどう埋めていくかがITコンプライアンスの要件」(郷間氏)とし、NetWorld+Interop Tokyo 2005では、こうしたITコンプライアンスの要件にKCCSで提供するセキュリティプロダクトをマッピングして、具体的にどう取り組んでいくべきかを見せていくという。
ITコンプライアンスを実現する為のKCCSトータルセキュリティの考え方