【第2回】「効果が見えるIT全般統制対策とは？」（後編）

効果が見えるIT統制対策とは

　IT資産として管理すべきなのはクライアントPCに限らない。クライアントPC内に存在している「ファイル」も重要だ。特に昨今は個人情報の管理が重要になっているのは周知の事実である。そこで有効なのが、クオリティが開発している個人情報データを探査するツール「eX PDS」だ。

　eX PDSは一定の数以上の氏名、住所、電話番号、メールアドレスが含まれているファイルを検索し、ファイル名や保存場所といった情報を収集し、管理する製品だ。さらにQND/QAWと組み合わせることで、eX PDSのモジュールをクライアントPCへ自動インストールすることもできる。

　このツールのユニークな機能は「個人情報データが保存されているPCのユーザーは、そのファイル内容やファイルの入手先、用途などをツール上で回答した上で、管理者へ必ず送信する」機能だ。つまり、その個人情報を含むファイルの数があまりに多いと「報告が面倒になるため、必然的に個人情報をローカル環境に保存しなくなるのです」と山田氏は説明する。個人情報はローカル上に「持たない」ことが最大のリスク対策なので、この機能は高い抑止効果が得られそうだ。

　もし個人情報を含むファイルが必要なときは、一時的にファイルサーバからダウンロードし、用が済んだらすぐ削除する、というのが望ましい姿だろう。eX PDSの導入により社員はクライアントPC上にリスクを放置しなくなるという効果が、クオリティ社内でも見られたという。山田氏は「個人情報ファイルの管理よりもそうした効果があることが大きい」とメリットを分析している。

　そしてIT統制とも重要な関わりを持ってくるのが、得られた情報を有効に活用するためのレポートの作成だ。

　セキュリティ統制を行うための4つのステップについては前回説明したとおり。『IT資産の把握』、『初期監査の実施』、『対策の実施』、『監査レポートの発行』という4段階でセキュリティ統制を進め、そのサイクルを回しながら改善を続けていくということが重要。レポートの作成はステップ2とステップ4で必要となる作業だ。

IT統制強化ステップにおける「eX Report」の位置づけ

※クリックすると大きい画像を表示します。
セキュリティ統制を強化する4つのステップと運用ルール。このうちの2つのステップでレポートが活用できる

　この作業の負担を軽減してくれるツールが「eX Report」だ。eX ReportはQND/QAWやeX PDSといったクオリティの製品と連携し、管理対象のPCのセキュリティ状況を一元的に把握するとともに、定期監査ごとのセキュリティ状況がどのように推移していったかも分かる。レポートは自動で生成され、ウェブブラウザで閲覧できるほか、CSVやPDFとしても出力できるので、定期的なセキュリティレポートの作成がより手軽に行えるようになる。

eX Reportを利用したIT統制強化ステップ例(1)

※クリックすると大きい画像を表示します。
eX Reportの例。Windowsのセキュリティパッチが未適用のPCと、その未適用パッチの種類が一目で分かる

eX Reportを利用したIT統制強化ステップ例(2)

※クリックすると大きい画像を表示します。
企業の運用ポリシーで使用の禁止されているアプリケーションがインストールされたPCもすぐに把握できる。こうしたレポートを元に、違反者の公表や処罰、パッチ適用などの対策が行える

　セキュリティ統制をコアとしたIT統制で目に見える効果を実現するためにはどうすれば良いか。その答えをクオリティは4つのステップとそれを実現するソリューションで示してくれた。それに加え、セキュリティポリシーやスタンダードといった運用ルールを明確に定め、継続的に改善していくことが重要だ。机上の論理ではなく、クオリティ自身が実際にそれを実施していることも、その言葉に説得力を与えている。

　QND/QAWによって漏れなく正確な情報を収集、eX PDSで個人情報漏えいのリスクを洗い出し、eX Reportを活用して効率的な監査体制を構築する。こうして4つのステップを継続させ、潜在化しがちなリスクを確実に「見える化」していくことで、効率的なIT統制が実現する。そして、それを支援するのが、こうしたクオリティのソリューションなのである。

　次回は大企業だけでなく、SMBにも強い味方となってくれるであろう、省コストなASPによるIT資産管理サービスを紹介しよう。（次回更新は1月8日（火）予定）