「IT GRC」活用でセキュリティとコンプライアンスの負担を軽減する

　9月1日、福島県の旅行会社が運営する高速バスのインターネット予約サイトから個人情報が流出したことが明らかになった。8月16日にカード会社から不正利用の疑いが指摘されて発覚。調査したところ、韓国からの不正アクセスが原因という。

　今回、流出した個人情報は16万9595件。氏名やメールアドレス、ログインID、パスワード、銀行名、銀行口座番号などの情報が含まれており、さらに5万2088件にはクレジットカード番号や有効期限の情報も含まれていた。

　相変わらず情報漏えい事件は後を絶たないが、NPO日本ネットワークセキュリティ協会が7月1日に公開した「2009年情報セキュリティインシデントに関する調査報告書」では、2009年の情報漏えい件数は1539件、漏えい人数が572万1498人、想定される損害賠償総額は3890億4289万円に上るという。ちなみに情報漏えいの原因で最も多いのは、「管理ミス」の50.9％、続いて「操作ミス」の24.0％、「不正アクセス」は0.6％と報告されている。

　ラックのサイバーリスク総合研究所研究センターセンター長である新井悠氏は、「企業のコンプライアンスが形骸化してしまっていることが、こうした状況を生み出している原因。またコンプライアンスや情報漏えいに関わる問題が、複雑化、グローバル化していることも対策を難しくさせている要因のひとつ」と話していたが、まさにコンプライアンスやセキュリティを今一度、見直す時期が来ているといえるだろう。

「IT GRC」の活用が有効に

　今後さらに、クラウド環境の活用などが推進されると、使用しているソフトウェアを誰が所有しているのか、誰が管理しているのかなど、さらに問題は複雑化してくる。IT専門調査会社であるIDC JapanのITスペンディングリサーチマネージャーで医薬学博士の笹原英司氏は、「紙の台帳やExcelを使った手作業によるシステム運用管理は、もはや困難になっている。そこで有効になるのが統合システム運用管理ツールなど、ITを有効活用したIT GRC（IT Governance Risk and Compliance）の確立だ」と話す。

　例えば、日立製作所の統合システム運用管理「JP1」は、「つながせない」「使わせない」「持ち出させない」「見逃さない」という4つの視点からセキュリティ対策を実現、企業の健全性や信頼性の維持を支援する。

　「つながせない」では、ポリシーに反するPCや無許可のPCをネットワークから排除することが可能。また「使わせない」では無許可のソフトウェアの起動を抑止できる。さらに「持ち出さない」では、さまざまなメディアへのコピーやプリンタ出力を制御でき、「見逃さない」では、いつ、どこで、誰が、何を、どのように操作したかを追跡可能な機能が提供されている。

　また、マイクロソフトの「System Center」では、圧縮ファイルや暗号化ファイルに含まれる実行ファイルを探索できるので、単一の実行ファイルとして動作する既知のウイルスやスパイウェアが侵入していないか、情報漏えいの原因となるファイル交換ソフトなどが使われていないかを調査することができる。

　さらに富士通の「Systemwalker」セキュリティ管理ソリューションでは、情報漏えいに求められるPDCAサイクルを実現することが可能となっている。Planではリスクを把握し、Doでセキュリティ対策を導入・運用、Checkでセキュリティポリシ遵守の監視と評価を行い、Actionで改善と強化を実施することができる。

　そのほか、フォティーンフォティ技術研究所（FFR）、代表取締役社長の鵜飼裕司氏は、「インターネット環境がIPv4からIPv6に移行すると、さまざまな組み込み機器がネットワークに接続されることになる。これにより、セキュリティ上の新たな脅威が生まれる危険性がある」と話している。FFRでは8月25日に、組み込み機器のセキュリティ堅牢性を検査するツールである「FFR Raven」を発表している。

　IDCでは、国内コンプライアンス市場規模に関する調査結果を2010年4月に報告しているが、その報告の中では、国内コンプライアンス市場への投資規模は、2010年が対前年比17.3増の1兆2139億円で、2014年には1兆9492億円規模に拡大すると予測している。