【第2回】IT全般統制の基盤整備とBPMの関連性（後編）

2008年3月から実務に移らなくては間に合わないといわれている日本版SOX法への対応。もはや残された時間は少なく、今すぐにでも新法に抵触する業務フローの洗い出しや、法対応や内部統制の強化を効率的に実施していくためのツール選定に入る段階にきている。前回の連載でも述べたとおり、内部統制の強化を確実なものにするためには、各種のセキュリティツールの導入のほかに、ビジネスプロセスと連携したシステム構築・運用を実現しなくてはならない。今回は、セキュリティマネジメントにフォーカスし、それとBPMとのつながりについて見ていくことにする。

ウイルス対策でも気が抜けない状況に！

　内部統制を強化する上で第一に必要なこと。それはセキュリティポリシーの明確化と社内への浸透である。ただ、社内に浸透させるためには、文書で配布したり、言葉で伝えたりするだけでは不十分なのが実情だ。こうした問題を解決するために重要視されているのが、セキュリティ・マネジメントツールである。

　セキュリティ・マネジメントツールの果たす役割は様々であるが、最終的な目的はセキュリティ全体のレベルアップを目的としたものとなる。まず、ウイルス対策やファイアウォールソフトなどのセキュリティソフトに関して適切にアップデートされているかの調査とそうでない場合の修復。また、ネットワークに接続する可能性のあるソフトの脆弱性を調査し、保護するパッチマネジメント。スパイウェアやPtoPソフトのような情報漏えいの危険性のあるソフトの排除。さらに不正なPCやセキュリティポリシーに即していないPCなどの接続防止機能や、個々のクライアントに破られやすいパスワードが設定されることを防ぐ、ローカルパスワードの管理などが挙げられる。

　それぞれの機能が果たす役割を具体的に見ていくことにしよう。ウイルス対策ソフトに関してはすでに各システムに導入されているので、もはや強化する必要がないと考える方もいるだろう。しかし、実際には未知のウイルスは日々新たに生まれている状況であり、しかも場合よってはウイルス対策ソフトが動作していないことや、定義ファイルが最新のものに更新されていないという状況が企業内では散見されている。こうした基本的な部分を改善してクライアントPCのセキュリティの徹底を図らないことには、すぐに脅威の標的になり、多くのセキュリティリスクを生み出す結果となるのだ。それを防ぐためには、アップデートは個々のユーザーに任せるという従来のやり方ではなく、管理をタイムリーかつ確実に実施することを徹底しなくてはならない。

企業が実施すべきエンドポイントセキュリティ管理

※クリックすると大きい画像を表示します。