第2話 現場から生まれた業務発のソリューション
SecureCube/Access Checkは、6年もの間、NRIの開発・運用現場で利用されてきた実績のあるソリューションです。導入や管理業務に負荷をかけたり利便性を損なったりせずにセキュリティを強化するSecureCube/Access Checkが、上場企業が2009年までに対応しなくてはいけない内部統制対応の流れの中で、改めて注目されています。ソリューションを提供しているNRIセキュアテクノロジーズの池浦規之が、その背景について語ります。
セキュリティの最先端、金融業界での実績
NRIセキュアテクノロジーズは、2000年に設立された情報セキュリティ専門のNRIグループの会社です。出光興産に導入されたSecureCube/Access Checkをはじめ、これまでさまざまなセキュリティ関連ソリューションを提供してきました。
「SecureCube/Access Checkは最近、内部統制に対応するために使われていますが、以前からNRI社内において、アクセス管理に対応する手段として社員たちが開発し利用してきた、まかない的なツールなのです」と、NRIセキュアテクノロジーズ ソリューション事業部の池浦規之は言います。
業界を代表するさまざまな大手企業を、情報システムの開発や運用によって支援してきたNRIでは、当然ながら、開発や運用の過程でお客様の管理するシステムに直接アクセスする必要がありました。こうした場合、「誰がいつどんなことを行ったのか」「サーバに対するアクセス権限は誰に与えられているのか」を明確にすることが求められます。ここで必要となってくるのが、開発者やシステム管理者のアクセスを管理し、操作内容を記録するためのツールです。この中でSecureCube/Access Checkが生まれました。
NRIでは、セキュリティレベルにおいては最先端といえる金融分野のお客様を数多く支援してきています。そのNRIの開発現場で、SecureCube/Access Checkは6年もの長い期間にわたって利用されながら、業務的な視点から継続的な改善が繰り返されてきた現場発のソリューションなのです。
数年前から、SecureCube/Access Checkは内部統制にも利用できるのではないかと注目されてきました。内部統制には、財務関係のアプリケーションを扱う「IT業務処理統制」と、システム管理やインフラなどを扱う「IT全般統制」があります。そのIT全般統制のなかの、本番環境であるサーバに対するアクセス管理を容易に実現するツールとして取り上げられたのです。
利便性を損なわずにセキュリティを強化
「セキュリティと使いやすさはトレードオフ」と池浦は言います。開発の現場では、セキュリティを高めると業務負荷が増えると考えられているからです。そのために多くの開発・運用の現場では、危険性を認識しながらも、複数ユーザーによる特権IDとパスワードの使い回し、複数のサーバでの同一IDの利用などがまかり通っているのが実情です。
他の業務でいかに内部統制を徹底させても、何でもできる権限を持ったシステム管理者たちが、サーバ上のプログラムやデータを不正に修正・加工してしまえば、会社の財務データは正しくないものになってしまいます。実際に海外では、システム管理者がこっそりサーバにツールを組み込んで自分に送金されるようにした事件も起こっています。内部統制の主目的である粉飾決算防止を考えれば、特権IDのアクセス管理は必須なのです。
「SecureCube/Access Checkなら、利便性を大きく損なわずにセキュリティを向上することができます」と池浦はSecureCube/Access Checkの利点を挙げました。
また、各サーバにプログラムなどを入れる必要がなく、多くの場合はサーバや利用人数の規模にかかわらず1セットの導入で済むため、短期間で導入できることも大きな特徴です。出光興産の例では、アクセスする端末やサーバの洗い出しに多くの時間を費やしましたが、SecureCube/Access Checkそのものの導入は2週間程度で済みました。導入後は、本番サーバにアクセスする人たちのIDを登録して、アクセスが許可されたサーバを設定していくだけです。
もし各サーバにアクセス管理機能を直接組み込むようなソリューションだったら「トラブルがあったときに対処しきれないため、段階的に進めていかざるを得ないでしょう。80台ものサーバなら何カ月もかかるのではないでしょうか。さらに、サーバの稼動を止めて動作の検証や導入作業をしなければならないため、業務にも支障が出るでしょう」と池浦は言います。
管理する本番環境のサーバが増えたとしても、SecureCube/Access Checkの場合は、そのサーバの情報を登録するだけで済むので、導入後の管理者の業務負荷も少なくて済みます。
業界標準に準拠したセキュリティ体制
ソリューション事業部
池浦 規之
「そもそもセキュリティは、利用者にとって空気のようなものでなくてはいけません」と池浦は話します。空気は無害で安全なもの、それが当然と誰もが思っています。
「NRIセキュアテクノロジーズは、テクノロジーとマネジメントの両面から情報セキュリティを考えてきました。情報システムも空気と同じように安全であって当たり前でなくてはいけません。しかも利用者の利便性を損なわずに負担を感じさせないのが一番です」
しかし、システムも技術も複雑になっていく流れの中で、高度なセキュリティを保つのは容易なことではありません。
「SecureCube/Access CheckはFISC(金融情報システムセンター)の安全対策基準や、日本公認会計士協会の18号監査、米国公認会計士協会のSAS70といった基準に対応することも可能です。内部統制の仕組みづくりはアメリカのSOX法が先行していますが、そちらでもSecureCube/Access Checkを導入してアクセス管理を実現した実績があります」
特権IDのアクセス管理は内部統制の中でも特に重要視されていることです。しかし、一般社員のアクセス管理に代表されるIT業務処理統制から手をつける企業が多く、この部分は、重要性を認識しながらも後回しにされているケースが非常に多くあります。こうした状況から、このカテゴリーではまだデファクトスタンダードのソリューションがありません。「ですからSecureCube/Access Checkがその座について、お客様に『これを使っているなら安心だね』と言われるようにしていきたいのです」と、池浦は今後の展望を語りました。
※本文中の組織名、職名は公開当時のものです
