連載
» 2006年11月02日 12時00分 公開

日本版SOX法に必要なセキュリティポリシーとは?セキュリティツールで作る内部統制(7)(1/3 ページ)

本連載ではこれまで、日本版SOX法対応におけるアイデンティティ管理やアクセス管理、監査/監視といったテーマを解説してきた。今回は、これまで説明してこなかったセキュリティポリシーなど、それ以外の部分におけるセキュリティ対策を解説する。

[中島 浩光,@IT]

 これまでシステムセキュリティ保証ということで、アイデンティティ管理やアクセス管理、監査/監視というテーマで解説をしてきました。これらのセキュリティ対策は、当然日本版SOX法対応におけるIT内部統制の構築を行うのにとても重要になります。

 では、日本版SOX法対応において、それ以外のセキュリティ対策は重要でないかというと、もちろんそうではなくて、それ以外の部分もきちんと対策を行っていく必要があります。今回は、日本版SOX法対応で必要になってくる「それ以外」の部分について解説します。

セキュリティポリシーは必須

 最初にセキュリティポリシーについてですが、これはIT内部統制の構築において非常に重要な位置を占めています。日本版SOX法における内部統制は財務報告にかかわるシステムを対象としており、個別システムでのセキュリティ実装が重要視されるため、全社的なシステムを対象としているセキュリティポリシーとの関係は薄く見えます。

 しかし、セキュリティポリシーはそれら個別システムのセキュリティ実装のベースとなるものであり、組織体制を含めたセキュリティ運用のベースである必要があります。

 また、内部統制の監査においては、各種の統制活動を次の3つのポイントからチェックします。1. 設計(Design)2. 実装(Implementation)3. 運用(Operation)で、それぞれ以下の点を監査します。

  1. 設計(Design)=統制活動が文書化され、承認されている
  2. 実装(Implementation)=実際のシステムが設計どおりに実装・設定されている
  3. 運用(Operation)=対象の期間内できちんと運用されている(監査ログの取得)

 セキュリティポリシーは、この3つの中では「1. 設計(Design)」の段階にあります。セキュリティ対策における根本的な方針を示すべき文書であり、個別システムの設計・実装・運用のみならず企業内のさまざまな個所に影響があると考えられるため、非常に重要です。

 そのため、セキュリティポリシーの有無や、記述内容に不整合や不明確な点がないか、経営陣によって承認されているか、社内に周知されているか、といった点は監査においてチェックされると考えてよいでしょう。

 また、セキュリティポリシーの下位文書として「セキュリティ標準/ガイドライン」といった文書が存在しているかどうかも、重要なポイントになります。セキュリティポリシーが情報セキュリティの構築・運用における全体的な概要を示しているのに対して、セキュリティ標準はもう少し詳しく、さまざまな個所で取るべき対策について記述したものとなります。従って、個別システムを含むセキュリティ対策の設計図のベースラインとなります。

 各システムにおいて、個別にリスク分析やセキュリティ対策、製品の選定、さらにその文書化を行っても構わないのですが、その場合、各システムでセキュリティ対策にばらつきが出てしまうことが多く、システム全体としてのセキュリティレベルの確保や、設計(文書化)・実装工数や監査工数の増加などの問題が発生します。そのため、社内的に標準となる文書を定め、それに従った対策を行っていくことで、これらの問題を解決することができるのです。

 さらに、セキュリティ標準/ガイドラインについては定期的に見直すことも重要です。いわゆるPDCAサイクルですが、「セキュリティを攻撃する技術」も日々進化しているため、ある時点で策定したセキュリティポリシーは時間がたつにつれて十分なものでなくなっている可能性があります。そのため、定期的な見直しによりメンテナンスしなければなりません。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ