シマンテックは4月19日、セキュリティポリシーやコンプライアンス(法令遵守)を自動化するツール「Symantec Enterprise Security Manager (ESM) 6.5」を発表した。同ツールは、企業の情報システムのコンプライアンスの状況を、業界や法令、社内のセキュリティポリシーおよびセキュリティ標準に基づいて監査する。発売は4月末の予定。
シマンテックでプロダクトマーケティング部 リージョナルプロダクトマーケティングマネージャーを務める金野隆氏は、「企業のシステム管理者やIT利用者は、さまざまな監査基準に準拠する必要がある」と説明する。例えばシステム管理者は、OSやアプリケーションの管理はもちろん、ユーザーとそのパスワード、データのバックアップ、アクセス制御なども管理しなくてはならない。利用者側も、個人データのバックアップおよび管理、データ保存制限などの利用方法を守る必要がある。金野氏は、「こうした管理をすべて手作業でやるのは不可能」と述べ、Symantec ESMがポリシー管理に役立つとした。
「ESMはセキュリティポリシーの自動化が可能」と金野氏
Symantec ESMは、全システムを定期的にスキャンして、法的規制に対するコンプライアンスへの監査を実施する。監査内容は、パスワードが適度に難しいものとなっているかどうかをはじめ、最新OSのパッチが適用されているか、ネットワーク設定は正常か、不要なサービスやアプリケーションが起動していないかなど。法規制のポリシーテンプレートとしては、Sarbanes-Oxley(SOX)法やGramm-Leach-Bliley(グラムリーチブライリー)法、医療保険の総合運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act:HIPAA)などが用意されている。
最新バージョンの6.5では、監査するチェック項目が大幅に増え、3300項目以上となった。また、新しいネットワーク評価モジュールが提供され、ポリシー監査に脆弱性評価を付加することで管理性が向上し、攻撃からの防御策を講じることができる。また、コンプライアンス保護のためLiveUpdateから常に最新のポリシーと脆弱性情報をダウンロードし、ESMのコンソールから企業全体に展開することも可能だ。
金野氏は、EMSが企業ニーズや新ポリシーに合わせて柔軟に変更できることから、「コンプライアンスのための効果的なセキュリティポリシー監査環境を提供する。監査実施のTCO削減に最適だ」とアピールした。
