今週のSecurity Check(第184回)

 2006年6月に成立した日本版SOX法(厳密には金融商品取引法)により,多くの企業が内部統制の強化を迫られている。その一部として,「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」で,情報セキュリティの強化を求めている。では,企業ユーザーは内部統制強化のために,どの観点でのセキュリティをどのレベルまで強化したらよいのか。一口にセキュリティと言っても,範囲は広く,導入の手間やコストを考えれば,施策を適切に取捨選択したいところだ。

 セキュリティ・レベルが「一定の水準」に達しているかどうかを判断するには,例えば情報処理推進機構(IPA)が公開している「情報セキュリティ対策ベンチマーク(セルフチェック)」ツールを使う方法がある。このツールを使って,

  • 情報セキュリティに対する組織的な取組状況(7項)
  • 物理的(環境的)セキュリティ上の施策(5項)
  • 通信ネットワーク及び情報システムの運用管理(5項)
  • 情報システムの開発,保守におけるセキュリティ対策及び情報や情報システムへのアクセス制御の状況(5項)
  • 情報セキュリティ上の事故対応状況(3項)
といった項目に答えていくと,セキュリティ・レベルがある程度見えてくる。

  「どんな対策を」という観点では,経済産業省が今年1月に発表した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」が参考になるだろう。元々「システム管理基準」や「情報セキュリティ監査制度」はセキュリティのガイドラインに位置付けられるが,内容は汎用的。そこで,内部統制と情報セキュリティの関係を明確にすべく策定されたのが,上記の追補版である。「第IV章 IT統制の導入ガイダンス(IT統制の例示)」には,システム管理基準などとIT統制との具体的な対応関係を明示してある。その中には, 「内外からのアクセス管理等のシステムの安全性の確保」として,

  • 情報セキュリティフレームワーク
  • アクセス管理等のセキュリティ対策
  • 情報セキュリティインシデント(事故)の管理
の3項目が含まれている。

 内部統制強化に向けて必要なセキュリティ面の取り組みは,「内外からのアクセス管理等のシステムの安全性の確保」の実現,つまりモニタリングである(表1)。セキュリティ対策として様々なソリューションを導入する企業は多いが,導入後の運用でセキュリティ対策の有効性を適切に測定し評価している企業は決して多くない。しかしセキュリティ対策は,でいつまでも導入時のまま有効なわけではない。例えばウイルス対策では,新たなウイルスは次々に登場する。ウイルス対策ソフトのパターン・ファイルを更新していないパソコンが残っていれば,ウイルスはそこから入り込んでくる。ほかのセキュリティ対策でも同様である。

表1 IT全般統制の統制項目にある「内外からのアクセス管理等のシステムの安全性の確保」の概要
(第IV)章 IT統制の導入ガイダンスから抜粋)

統制項目 統制に関する指針 統制目標など
情報セキュリティ・フレームワーク 財務情報や財務報告にかかわるITでは,特に情報の改ざん,削除などのリスクがある。そこで情報セキュリティ基本方針に基づいて情報セキュリティのフレームワークを構築する
  • 情報セキュリティにかかわる組織体制を構築する
  • 情報セキュリティにかかわる規程など(情報セキュリティ基本方針,情報セキュリティ対策基準,実施手順書およびマニュアル)を整備し,周知徹底する
  • 運用実施状況を自主点検または監査する
  • アクセス管理などのセキュリティ対策
  • 財務情報にかかわるアプリケーション・システムでは,売上情報や在庫情報などの改ざん,削除といったリスクがある。そこで,正当な権限を持った担当者だけにアクセスを制限する。
  • 財務報告にかかわるITへの不正アクセスを防ぐためには,アクセス管理が必要になる。担当者にアクセス権限を付与する承認行為や担当者がシステムにアクセスする際の認証,入力したデータを後から否定できない否認防止,セキュリティのレベルの付与,システムの動作やアクセスを記録するモニタリングなどがある。
  • アクセス管理を中心とした情報セキュリティに関する不備は財務情報の完全性,正確性,正当性に重大な影響を与えるおそれがある。例えば,適切なアクセス制御がなく,誰が,いつ,どこからアクセスしたか把握できない会計システムが運用されている場合には,手作業による補完的な統制が実施されていないかぎり,不正確な財務報告につながる可能性がある
  • アプリケーションのアクセス制御
  • アプリケーションのパスワード管理
  • OSのアクセス制御
  • ネットワーク・アクセス制御する
  • セキュリティ・インシデント(事故)の管理
  • 通常の運用の範囲を超えたアクセスや行為に対しては,文書化して担当者に通知。
  • 問題管理や事故対応に不備がある場合,結果としての財務報告の信頼性に重要な影響を及ぼす可能性がある
  • 事故の報告,記録及び対応ルール,手順及びツールを整備する
  • 事故の原因究明及び再発防止を実行する
  • モニタリング・ツールを導入する 事業継続管理を準備
  • 対策の有効性を可視化しよう

     こうした「対策の有効性」を評価するには,有効性を可視化する必要がある。例えばネットワーク・アナライザを使ってトラフィックの傾向を把握しておく,サーバーやアプリケーションのアクセス履歴を記録しておくといった具合だ。IDS/IPS(侵入検知/防御システム)や異常検知システム(ADS)などを使ってモニタリングし,実際のインシデントの件数を定量化する方法も挙げられよう。

     実際にモニタリングの仕組みを導入する場合は,まず,財務報告にかかわるすべてのシステムを特定すし,アクセス制御のルールを決める。例えばアクセス権限を持つユーザーや端末,アクセスを許す時間帯などである。このルールに合わないアクセスが発生した場合には管理者に警告を発するなどの仕組みも重要だろう。写真1は,インターネット・セキュリティ・システムズ製のADS「Proventia Network ADS」を使って財務会計システムへのアクセス状況を可視化したものである。


    写真1 Proventia Network ADSで財務会計システムへのアクセス状況をグラフ化したところ
    [画像のクリックで拡大表示]


    西 誉インターネットセキュリティシステムズ
    プロフェッショナルサービス本部
    コンサルティング部長

     ITpro Securityが提供する「今週のSecurity Check」は,セキュリティに関する技術コラムです。セキュリティ・ベンダーである「インターネット セキュリティ システムズ株式会社」のスタッフの方々を執筆陣に迎え,同社のセキュリティ・オペレーション・センター(SOC)で観測した攻撃の傾向や,セキュリティ・コンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)