「IT GRC」活用でセキュリティとコンプライアンスの負担を軽減する

山下竜大 2010年09月03日 23時53分

  • このエントリーをはてなブックマークに追加

 9月1日、福島県の旅行会社が運営する高速バスのインターネット予約サイトから個人情報が流出したことが明らかになった。8月16日にカード会社から不正利用の疑いが指摘されて発覚。調査したところ、韓国からの不正アクセスが原因という。

 今回、流出した個人情報は16万9595件。氏名やメールアドレス、ログインID、パスワード、銀行名、銀行口座番号などの情報が含まれており、さらに5万2088件にはクレジットカード番号や有効期限の情報も含まれていた。

 相変わらず情報漏えい事件は後を絶たないが、NPO日本ネットワークセキュリティ協会が7月1日に公開した「2009年情報セキュリティインシデントに関する調査報告書」では、2009年の情報漏えい件数は1539件、漏えい人数が572万1498人、想定される損害賠償総額は3890億4289万円に上るという。ちなみに情報漏えいの原因で最も多いのは、「管理ミス」の50.9%、続いて「操作ミス」の24.0%、「不正アクセス」は0.6%と報告されている。

 ラックのサイバーリスク総合研究所研究センターセンター長である新井悠氏は、「企業のコンプライアンスが形骸化してしまっていることが、こうした状況を生み出している原因。またコンプライアンスや情報漏えいに関わる問題が、複雑化、グローバル化していることも対策を難しくさせている要因のひとつ」と話していたが、まさにコンプライアンスやセキュリティを今一度、見直す時期が来ているといえるだろう。

「IT GRC」の活用が有効に

 今後さらに、クラウド環境の活用などが推進されると、使用しているソフトウェアを誰が所有しているのか、誰が管理しているのかなど、さらに問題は複雑化してくる。IT専門調査会社であるIDC JapanのITスペンディングリサーチマネージャーで医薬学博士の笹原英司氏は、「紙の台帳やExcelを使った手作業によるシステム運用管理は、もはや困難になっている。そこで有効になるのが統合システム運用管理ツールなど、ITを有効活用したIT GRC(IT Governance Risk and Compliance)の確立だ」と話す。

 例えば、日立製作所の統合システム運用管理「JP1」は、「つながせない」「使わせない」「持ち出させない」「見逃さない」という4つの視点からセキュリティ対策を実現、企業の健全性や信頼性の維持を支援する。

 「つながせない」では、ポリシーに反するPCや無許可のPCをネットワークから排除することが可能。また「使わせない」では無許可のソフトウェアの起動を抑止できる。さらに「持ち出さない」では、さまざまなメディアへのコピーやプリンタ出力を制御でき、「見逃さない」では、いつ、どこで、誰が、何を、どのように操作したかを追跡可能な機能が提供されている。

 また、マイクロソフトの「System Center」では、圧縮ファイルや暗号化ファイルに含まれる実行ファイルを探索できるので、単一の実行ファイルとして動作する既知のウイルスやスパイウェアが侵入していないか、情報漏えいの原因となるファイル交換ソフトなどが使われていないかを調査することができる。

 さらに富士通の「Systemwalker」セキュリティ管理ソリューションでは、情報漏えいに求められるPDCAサイクルを実現することが可能となっている。Planではリスクを把握し、Doでセキュリティ対策を導入・運用、Checkでセキュリティポリシ遵守の監視と評価を行い、Actionで改善と強化を実施することができる。

 そのほか、フォティーンフォティ技術研究所(FFR)、代表取締役社長の鵜飼裕司氏は、「インターネット環境がIPv4からIPv6に移行すると、さまざまな組み込み機器がネットワークに接続されることになる。これにより、セキュリティ上の新たな脅威が生まれる危険性がある」と話している。FFRでは8月25日に、組み込み機器のセキュリティ堅牢性を検査するツールである「FFR Raven」を発表している。

 IDCでは、国内コンプライアンス市場規模に関する調査結果を2010年4月に報告しているが、その報告の中では、国内コンプライアンス市場への投資規模は、2010年が対前年比17.3増の1兆2139億円で、2014年には1兆9492億円規模に拡大すると予測している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]