不正を起こさせない環境を作るセキュリティ統制のススメ：最後のセキュリティホールは「人」を打破しよう

どんなに優れたセキュリティ対策技術を導入しても、最後に残るセキュリティホールは「人」だといわれる。IT資産を始めとする、社内PCの現状を把握し、セキュリティリスクの分析と対策を繰り返し実施していくことで、「社員」を含めた内部統制をより確実なものにできる。

[PR／ITmedia]

PR

　金融商品取引法に基づき、4月1日から上場企業を中心とした数多くの企業が、これまでに整備を進めてきた内部統制の仕組みを本格的に稼働させている。これらの企業では業務プロセスの明文化や文書管理体制の強化、基幹業務の監査体制など、内部統制に対応するためのさまざまな仕組みを運用し始めたことだろう。だが、これらの仕組みが正しく機能するには、社員一人ひとりが内部統制やセキュリティ対策の重要性を理解するだけでなく、普段から内部統制ルールやセキュリティルールを確実に守るように教育していくことが肝心だ。

　内部統制やセキュリティ統制を確実なものに近づけていくため、情報資産やIT資産を保護・管理するさまざまな技術やシステムをすでに運用している、または導入を検討している企業は多い。しかし、技術やシステムを利用するのはあくまで社員一人ひとりであり、金融商品取引法をきっかけに定めた数々のルールを彼らが日々多忙な業務の中で確実に遵守していくことは容易ではないだろう。それでは、内部統制を確実なものとするためにはどのような仕組みを構築し、拡充していけばよいのだろうか。その方法を探ってみよう。

「うっかり」を生まないためのアプローチ

IT資産管理ツールを利用した、セキュリティ統制の強化ステップ

　内部統制を実施していく上で大きなリスクの一つに挙げられるのが、社員の不注意や不正行為による情報流出などのセキュリティインシデントだろう。いかに強固な管理体制や堅牢な情報セキュリティ対策を用意しようとも、社員一人ひとりの意識が及ばなければこれらの施策が十分に機能することは難しい。

　大半の企業では、情報セキュリティの観点からセキュリティ統制ルールを策定して、e-ラーニングなどを活用した社員の意識啓発、また、罰則規定の導入などに取り組んでいる。しかし、これらの施策は当初の内容のままで運用していると、いずれ実態にそぐわなくなる。内部統制を維持していくためには、各種施策が常に有効な状態にあるかを絶えず確認していくことが重要である。

　まず、内部統制や情報セキュリティに対する社員の意識を高め、普段から不正行為や不注意によるセキュリティリスクを監視する。万が一の事態が発生すれば、影響を最小限にするように対処する。そして、事故発生のメカニズムや被害を丹念に検証・分析（内部監査）し、再発防止に向けた対策の追加と、社内へ事故の顛末と処分を発表する。これらの一連の取り組みをサイクルとして繰り返していくことで、内部統制のための各種施策の完成度は着実に高まっていく。サイクルを効率的に回していくための手段として注目したいのが、IT資産管理ツール群の活用である。

内部統制の強化は難しくない

　IT資産管理ツールの利用は、一般的にPCやサーバ、ネットワークなどの状態を管理することが目的になるが、これは内部統制やセキュリティ統制を強固なものするための原動力にもなる。

　例えばIT資産管理ツールの大手メーカーであるクオリティは、IT資産管理ツール「QND Plus」やIT資産管理機能に加えシステムの適正利用をサポートする「QAW」、クライアントPCの操作ログを取得する「QOH」、USBメモリなどへのデータ書き出しを制御する「eX WP」、リポーティングツールの「eX Report」をラインアップする。これらの製品を上手に連携させることで、内部統制を強化するためのサイクルを構築できる。

　まず、Step1ではセキュリティルールなどに基づいてQND Plusで「社内PCが何台あるのか」、「PC使用者は誰か」の基本情報と、各クライアントPCにおけるセキュリティパッチの適用状況、ウイルス対策ソフトの定義ファイルの更新状況、脆弱性情報などを収集する。Step2では、これらの情報をeX Reportを利用して社内に公開し、現状の可視化と社内への情報共有を行う。Step3では、Step2で明らかになったポリシー未適合のクライアントPCの状態をQND Plusで最適化していく。上記の3ステップを1順目とし、2順目以降の3ステップに入る。

セキュリティ統制を実現するためのステップ（1順目）

　2順目のStep1は、1順目のStep3で行った対策後の現状把握と、QND Plusで取得するPC情報に加え、QOHでクライアント操作ログを取得する。Step2はStep1のポリシー未適合情報と、QOHで明らかになったルール違反となる操作の社内公開を行う。これをStep3への布石とする。また、ルール違反情報が社内に公開されることにより、ルール違反行為の抑止力になる。Step2の情報を基に、より強制力のある対策を行う。QND PlusからQAWにアップグレードすることにより、社内で使用を認めていないソフトウェアの起動制御を行い、eX WPにより、USBメモリなどの外部記憶媒体へのデータコピーを禁止するなどといった対策である。この2順目以降のステップを回していくことで、セキュリティ統制はより強化なものにされていくのである。これらの定期監査結果に基づいてルールなどの改善を図るとともに、社員への徹底により、内部統制を強化するという具合だ。

セキュリティ統制を実現するためのステップ（2順目）

　このプロセスをサイクルとして回し、最初に設定した内部統制ルールやセキュリティルールを常にブラッシュアップしていく。判断材料となる監査リポートを作成するために、現状把握によってどのような情報や操作ログを取得し、どのように分析・評価するかは、自社のポリシーや監査法人などのアドバイスによって異なるだろう。クオリティのIT資産管理ツール製品群は、利用企業の環境に応じて柔軟に運用できるのも特徴だ。例えば、監査リポートを監査法人へスムーズに提出できるよう、リポートをPDFファイルで出力できるようにもなっている。これらのツールを利用することで監査担当者やシステム管理者の負担を軽減し、監査法人との連携を迅速かつ密にできるようになる。

　ここで、クオリティの製品ユーザー企業A社で発生したセキュリティ事件と対処、導入した再発防止策を事例として紹介しよう。

　A社は、内部統制の対象企業ではないが、コンプライアンスの観点から内部統制の強化へ真剣に取り組んでいるという。セキュリティ統制の実施状況を毎月欠かさず把握して、監査リポートを作成。社内のセキュリティ委員会で入念な監査と対策強化の取り組みを実施している。しかし2008年2月、ある社員がセキュリティルールに違反する方法で情報を社外に持ち出すという事件が発生した。

　A社では社内情報を保護し、流出を防止するためのルールとして、クライアントPCからUSBメモリなど外部記録媒体へのデータの書き出しを原則として禁止している。書き出しが必要な場合は、対象データの種類やファイル名、書き出す先の媒体などを上長に申請しなければならない。だが、違反をした社員はこの申請手続きを行わずに、不正な手段で社内データを持ち出していた。

IT資産管理ツールで発見と対処が迅速に

　監査委員会では、この社員の不正行為の裏付けを取るべく、QOHで取得した操作ログを分析した。この結果、社員がいつ、どのような機器を利用してデータを持ち出したのかをすぐに特定した。社員に事実確認をしたところ、社員はデータの持ち出しを認めた。幸いにして、持ち出されたデータは機密性の高いものではなく、流出の事実もなかった。監査委員会は最終報告書を取りまとめて社内へ公表するとともに、社員を処罰した。

　A社のケースでは、事件発覚から処分の決定までに約3週間を費やした。しかし、多くの情報流出事故では、原因を特定するだけでも半年以上かかるケースが珍しくない。A社が短期間に対処できた背景には、IT資産管理を始めとする社内PCのセキュリティ統制が機能していたことによる。なお、A社では情報を持ち出した社員に対し、情報セキュリティe-ラーニングで使用する設問を考えるように罰則を命じた。ルールを違反した社員に情報セキュリティの重要性を認識させるだけでなく、この社員の体験を社員全員の情報セキュリティ意識の向上に役立てようとするのが狙いだという。

　社員への情報セキュリティ教育をきちんと実施しているにも関わらずセキュリティインシデントが発生してしまうことがある。A社のように、社員が「故意」を働けば、セキュリティインシデント発生を防止するのはほぼ不可能である。故意による事件が発生した場合、事件発生をできる限り迅速に察知し、調査と分析、最終報告までのプロセスを的確に進めることで、再発防止の最善策の一つになる。IT資産管理を中心としたセキュリティ統制で、万が一のセキュリティインシデントの際も適切に対処できるようになるのはA社の事例が示す通りだ。

ツールを生かすのはノウハウの山

　IT資産管理ツールを用いることなく内部統制やセキュリティ統制の実施状況を把握して、監査リポートを作成する作業は、監査担当者やシステム担当者に想像以上の負担を強いることになるだろう。IT資産管理ツールは、セキュリティインシデントへの備えという役割を果たすだけでなく、管理者の負担を解消する役目も果たして内部統制の実現を強力に支援する。それには、IT資産管理ツールを上手に活用するための方法を知ることが重要だ。

eX Reportによるリポート作成例

　クオリティは、このような負担を軽減するためのノウハウなど、IT資産管理ツールを上手に活用するための運用ソリューション提案を毎週欠かさず顧客に提供し続けている。同社が蓄積する運用ソリューション提案は数百種類にも及び、IT資産管理ツール導入した後も、自社が抱えるさまざま課題に対して適切なアドバイスを提供してくれるのが強みである。

　運用ソリューション提案は、クオリティ自らが実践した結果や、月に一度開催するユーザー企業との懇談会の場で紹介された事例も取り入れた、実地に即した内容のものばかりである。内部統制の整備をテーマにしたものでは、監査リポートの作成を上手に自動化していくためのノウハウや、改善していくための方法といったメニューがすでに多数用意されているという。

　クオリティのIT資産管理ツール製品群は常にユーザーの声が起点となって10年以上進化を続けてきた。例えばQNDは従来、無償ソフトウェアとして公開されていたが、「有償でも良いので機能強化を果たしてほしい」というユーザーからの度重なるニーズを受けて、「QND Plus」として商用化した経緯がある。ユーザー企業は大手企業を中心に3000社以上に及び、管理対象のクライアントPCは300万台以上にもなる。運用ソリューションは、各社のノウハウを凝縮したものである。

　また、QAWは4月のバージョンアップでクライアントPCのセキュリティポリシーを設定、管理できる機能を追加した。これもPCのセキュリティ状態を資産管理ツールで効率的に管理したいというユーザーニーズを受けての対応だ。内部統制やセキュリティ統制の整備において、IT資産管理ツール群を導入、運用することで得られるメリットは計り知れない。運用マニュアルも豊富に揃えるクオリティのIT資産管理ツール群を検討してみてはいかがだろうか。

ホワイトペーパーダウンロード

セキュリティ統制は3ステップで実現できる

内部統制対応上で必須となるセキュリティ統制を、簡単な3ステップのサイクルで実現する手法を紹介する。

　2008年4月に内部統制が正式稼働となった。対象企業は構築した内部統制システムに対し、2009年3月までに内部監査〜評価を行わなければならない。しかしながら、多くの企業が内部統制実現の必須項目である「IT統制（セキュリティ統制）」を後回しにしている傾向がある。内部統制システムの評価期限は確実に迫っている。時間がない。

　本ホワイトペーパーでは、多くの時間を割くことができないセキュリティ統制を簡単に3ステップのサイクルで実現する手法を説明し、その手法をワンストップで実現するクオリティのソリューションを紹介する。

TechTargetジャパン ホワイトペーパー ダウンロードセンターにて入手できます。