ISMSなどの基準に照らして対策状況を診断、チェック・ポイントが新製品

ISO 27001やPCI DSSなどの国際的なセキュリティ基準を参考に、セキュリティ状況を診断したり、改善したりするためのソフトウェア製品をリリースする。

[ITmedia]

　チェック・ポイント・ソフトウェア・テクノロジーズは、GRC（ガバナンス・リスク・コンプライアンス）関連のソフトウェア新製品「Compliance Blade」を4月に発売する。来日したCheck Point Software Technologies 通信・ハイエンド技術担当エキスパートのエイタン・エレンツ氏が明らかにした。

　新製品は、情報セキュリティマネジメントシステム（ISMS）の国際基準である「ISO 27001」やクレジットカード業界のセキュリティ基準「PCI DSS」といったセキュリティ基準に照らして、同社製品のユーザー企業のセキュリティ対策状況を評価したり、順守に必要な作業を支援したりする機能を備える。同氏によると、各種基準のベストプラクティスに従って本来求められるセキュリティ対策環境を講じていけるようになるという。

セキュリティ基準ごとの順守状況をダッシュボードで確認できる

　具体的には、ファイアウォールやVPN接続、IPS、アンチウイルス、DLP（情報漏えい対策）といった対策機能について、その設定の内容などが、ISO 27001やPCI DSS、HIPPAなどの基準の250種類以上の項目をどの程度順守できているかを、グラフィカルレポートでリアルタイムに通知する。対策が不十分な場合は、どの基準のどのような項目を順守していないかをゲートウェイや機能単位で詳細に確認できる。また、順守に必要な設定内容をアドバイスしたり、作業をスケジュール化する機能も備えている。

　Compliance Bladeで対策状況を確認できるのは、原則として同社製品のみだが、アプライアンスにインストールしてすぐに利用できるという。同社以外のセキュリティ製品を含めた全体的なセキュリティ対策のコンプライアンス管理には、GRCソフトウェアの「easy2comply」を併用することで対応できるとしている。

　エレンツ氏によれば、セキュリティ基準を順守せずに情報漏えい事故を起こした場合、賠償などに伴う損失コストは順守に要するコストの3倍になるという試算もあるという。また、こうした基準の認証取得では監査が行われるが、そのタイミングは一定期間ごとであり、監査を実施するタイミングで現状を診断したり対応を準備したりするのではコストが膨らみ、セキュリティレベルを恒常的に維持するのも難しい。

　「新製品は客観的な基準に照らして適切なセキュリティレベルを維持していける環境作りを目指している」（エレンツ氏）といい、システムを活用して人的なセキュリティのチェック作業をある程度自動化したり、設定ミスによる問題の迅速な発見や修正を可能にする。

管理者が設定したTCP/IPのレスポンス時間がコンプライアンスに抵触するといった場合でも、瞬時にアラートを発して確認や再設定をうながす

　既に評価版をリリースしており、米国では大学や製造業の企業などで評価検証中とのこと。将来は日本語への対応も予定しているという。