【第6回】「企業の現状を『見える化』し、セキュリティ統制基盤の強化へ」（後編）

これまで5回にわたってセキュリティ統制の実現を通して、内部統制をどう実現すべきかを解説してきた。最終回となる今回は、前回紹介した「QOH(Quality Operate Hawkeye)」が単なる社員のPC操作記録ツールではないという点を明らかにしつつ、クオリティ株式会社（以下、クオリティ）が提案するセキュリティ統制の重要なポイントを振り返ってみよう。

ログレポート公開でセキュリティ意識を高め合う

　QOHは、ファイル操作やWEBサイト閲覧、メール送受信といった11種類の操作ログを収集し、企業リスクとなりえる不正操作が発生していないか、発生した場合の原因は何か、を特定できるクライアント操作ログ取得ツールだ。さらに同社のレポート作成ツール「eX Report」と組み合わせることで、毎月のセキュリティ統制レポートを自動作成し、社員全員にWEBで結果を公開する、といったこともできる。

　QOHでのロギング（データの追跡と記録）を社内にアピールすることは、社員の意識に変化を促す効果がある。実はこの効果が長期的なセキュリティ統制を実現するためには重要なのだ。

　まず社員に対してはロギングしていることを広く明らかする。さらにその結果をレポートの形で社員全員が閲覧できるようにすると良いだろう。そうすることで、社内におけるITや情報の操作がどのように扱われているかを把握できる。また社員同士で問題点を共有できるため、問題行動のある社員に対しての注意喚起にもつながる。

　クオリティの実体験や導入企業に対する調査では、往々にして、問題となるような行動の数々は、ごく少数の同一メンバーが起こしている場合がほとんどだそうだ。それならば、それらの社員を特に注意してロギングしておけばよいわけである。

　「どこまでロギングしているか、どのような違反をした者を処分するのかが明確であれば、それが抑止力になるのです」とクオリティ。ロギングの範囲を社内に示し、企業のポリシーを明らかにする。どういった行動が問題なのかが分かりやすければ、社員はポリシーに反する行動をとらなくなる。

　さらにそれが習慣化してしまえば、社員はポリシーを意識することなく適切な行動がとれるようになる。例えば会社のノートPCを持ち帰って仕事をする人も、業務と無関係な作業は会社のPCではやらない、というように意識が変わってくるのだ。

　というように、QOHは、社員が問題のある作業をしていないか、ポリシー違反はないか、といった社内の現状を把握するだけでなく、問題行動の抑止力にもなる。また、仮に情報漏えいなどの問題が発生した際に、原因の追及にも役立つことは前回触れた通りだ。

内部統制に向けたIT統制、セキュリティ統制の実現

　さて、これまで、クオリティのソリューションとしてQAW/QND Plus、eX Report、ISM(IT Security Manager)、そしてQOH(Quality Operate Hawkeye)を紹介してきた。こうしたソリューションによってクオリティが目指しているのは、IT統制のみならず、企業自体の現状を「見える化」することだ。

　まず、IT統制に向けた、セキュリティ統制を実現するために必要な4つのステップとして『IT資産の把握』、『初期監査の実施』、『対策の実施』、『監査レポートの発行』というフェーズがあり、これを繰り返していくことでセキュリティを強化していくことが必要だ。

IT統制（セキュリティ統制）強化ステップ

※クリックすると大きい画像を表示します。
これまでの連載で紹介してきたさまざまなツールが、IT統制（セキュリティ統制）の4つのステップを回す助けとなるだろう

　このセキュリティ統制強化の4ステップを回す上で、キーワードとなるのは「見える化」だ。セキュリティ統制とは、単なる“セキュリティ対策”、すなわちウイルス対策、ファイアウォールの導入、スパム対策といった水際の対策だけを指すものではないのだ。

　セキュリティ統制の実現には企業におけるITの現状分析が大事だ。

1. まずQAW/QND Plusによって自社内のどのようなIT資産があるのかを把握。
2. そして、それがどう使われているかを正確に認識し、
3. その上でQOHを使い社員がどういった作業をしているのかを把握した上で、
4. eX Reportによって現状をグラフ化して、必要に応じて出力する。

　なぜここまでする必要があるのか。「見える化」によって企業はセキュリティ統制を実現する上で見逃せない、セキュリティホールを把握できるからである。

　よくセキュリティの比喩として、「水がいっぱいに入ったタルに一箇所でも穴が開いていたら、最後には中身の水はすべて漏れてしまう」――という話をよく聞く。どんなに強固なセキュリティも、たった一つの小さなセキュリティホールの存在により、関連企業を含めた企業全体のセキュリティがすべてムダになってしまうことも十分に考えられる。そのため、まず企業におけるセキュリティホールがどこに存在するかを認識する必要があるのだ。