前回、日本版SOX法施行に向けて企業がすべき対策としてセキュリティ統制の重要性を解説した。セキュリティ統制は4つのステップにもとづいて実現していくことになるが、その中でもIT資産の把握が重要なポイントとなる。IT資産の把握にはツールを使うのがもっとも効率的だが、中小企業では初期導入コストや専任の管理者の不在などが高いハードルとなりやすく、管理ツールの導入が難しいのが実情だ。そんな中小企業に対してクオリティ株式会社(以下、クオリティ)が提供しているソリューションが「ISM(IT Security Manager)」である。今回はISMがどのようなサービスなのか、そしてこれによって何が実現できるのかを追ってみたい。
ISMとは何か
前回説明したように、ISMはクオリティのASPサービスだ。管理者がサーバにツールをインストールして管理をするなどといった作業は不要で、手軽に導入できるのが最大の特長だ。
ISMは大きく4つの機能を持つ。
- Windows Update 強制更新支援サービス
- セキュリティレベル診断サービス
- 各種レポート作成機能
- 不正ソフトウェア検出サービス
クオリティ株式会社インターネットサービスグループ
ゼネラルマネージャー
坂田光太郎氏
1つ目の主要機能は「Windows Updateの強制更新支援サービス」。一般的な企業であれば、Windows Updateの自動更新は必須というポリシーになっていることが多いはずだ。しかし、クオリティのインターネットサービスグループゼネラルマネージャーの坂田光太郎氏によれば、Windowsにせっかく用意されているWindows Updateの自動更新をオフにしているユーザーは比較的多いのだという。
クオリティが調査したところ、企業ポリシーでWindows Updateの自動更新を義務づけていた企業はほぼ100%だったが、システムを利用して強制的に更新している企業は40数%しかなかった。つまり、半数以上の企業でWindows Updateによるパッチの適用ができていないのだ。坂田氏は、MSBlaster(※)など、セキュリティの脆弱性を悪用したネットワークワームの流行以来、セキュリティパッチの適用は一般的になっていると考えていたそうだが、想像以上にできていないことが分かったとのこと。セキュリティ対策の第1歩として、まずはセキュリティホールをふさがなくては話にならない。
そこでISMでは、Windows Updateの自動更新機能の設定を確認し、オフの場合は設定をオンにするよう “促す” 仕組みを導入した。ISMの発表以降、企業からもっとも注目されたのがこの機能で、やはり経営者層にも強い問題意識があるようだ。ISMを使うことで各クライアントPCのWindows Updateを、より確実に実行、管理できるようになる。
ISMの機能1 Windows Updateの強制更新支援サービス
次に、坂田氏が “4つの機能の中で一番お薦めしたい” という機能が「セキュリティレベル診断サービス」だ。これは、企業のクライアントPCのインベントリ情報を収集し、クオリティが提供するセキュリティ辞書から、その企業のセキュリティ状況を5段階で評価する、というものである。
ISMの機能2 セキュリティレベル診断サービス
これまでの一般的な資産管理製品では、管理者がインベントリ情報を逐一チェックし、どのマシンがセキュリティパッチを適用していないか、許可されていないソフトウェア(以下、ソフト)をインストールしていないかなどを把握する必要があるものが多い。この点ISMのセキュリティレベル診断サービスならば、これらのセキュリティに関するさまざまな項目を確認する前に、「その企業内に脆弱性があるかどうか」が管理者は一目で分かるという利点がある。
セキュリティレベルの根拠となるセキュリティ辞書は毎日更新され続けている。これはウイルス対策ソフトのパターンファイルのようなもの。この辞書と社内のPCから収集したインベントリ情報を比較し、その結果からセキュリティに問題があるかどうかが5段階のゲージで示される。管理者はそれを見ることで、レベル5であれば問題なしと判断できるし、レベルが下がっていれば各種脆弱性レポートを見て、問題点を探り当てる作業へ移ればよいのだ。あらゆる項目をチェックする必要がないため管理者の負担は少なくてすむ。これなら他の業務との兼任も不可能ではないだろう。
「IT資産管理」 のバックナンバー
-
【第6回】「企業の現状を『見える化』し、セキュリティ統制基盤の強化へ」(後編)
これまで5回にわたってセキュリティ統制の実現を通して、内部統制をどう実現すべきかを解説してきた。最終回となる今回は、前回紹介した「QOH(Quality Operate Hawkeye)」が単なる社員のPC操作記録ツールではないという点を明らかにしつつ、クオリティ株式会社(以下、クオリティ)が提案するセキュリティ統制の重要なポイントを振り返ってみよう。 -
【第5回】「企業の現状を『見える化』し、セキュリティ統制基盤の強化へ」(前編)
-
【第4回】「自社管理の手間を削減するASP、SaaS活用術」(後編)
-
【第2回】「効果が見えるIT全般統制対策とは?」(後編)
-
【第1回】「効果が見えるIT全般統制対策とは?」(前編)
- IT資産管理 一覧へ »
企画特集

-
レガシーアプリケーションの稼働どうしてる?
互換性の問題、あなたはどう考える?意見募集中! -
利用者の理想を追求した最新レンタルサーバ
サイト制作事業者がその評価結果を徹底レポート! -
新しい視点のレンタルサーバが誕生!
スタートアップ企業、開発者に最適なそのポイントとは? -
DBのパフォーマンスに困ってませんか?
既存のデータベース環境に追加するだけで性能が2倍に -
御社はまだフリーの転送サービスですか?
大容量ファイルの受け渡しに「ルール」と「安心」を -
アプリケーション仮想化 3つの課題
最新のCosminexus V8.5の知られざる実力 -
身近な業務をCRMが変革!
実は、埋もれた情報が鍵だった -
アンケートから見るセキュリティ対策の実態
8つの機能が中小企業の情報資産を守る -
仮想環境のバックアップは難しいのか
効率的なバックアップへの2ステップを解説 -
仮想化をダメにするストレージの実態
求められるストレージ正常化のキーワードとは? -
通販サイトのアクセス集中からの危機を救う
4つのケーススタディからWebシステムを徹底解説 -
経営統合後の事業損益構造の見える化を実現
SAS Performance Managementの導入事例紹介!! -
事例 VMwareでデータセンターをクラウド化
富士通の開発環境を効率化したクラウドのノウハウ -
ビジネスを支えるWebシステム最前線
システムトラブルの6割が、ソフトウェアに原因あり
-
15. プラグマフリー構文
この4分間のビデオは、プラグマ構文を知らなくてもOpenMPディレクティブ... -
16. 並列性の用語定義
この6分間のビデオでは、このシリーズのビデオを通じて使用される用語を...
新着企業動向
-
80PLUS BRONZE認証取得、2つの+12V出力回路搭載
工業用グレードの保護回路、アクティブPFC搭...
リンクスインターナショナル -
Digi Wireless M2M Forum 2010 Tokyo
ディジ インターナショナル -
【EMCジャパン Tech Communityサイト】ITの全体最適化はインフラから
EMCジャパン -
Dojo(道場)
テンダ - 企業動向一覧へ»


