シマンテックは4月19日,企業内のコンピュータやネットワークの設定などがセキュリティ・ポリシーに準拠しているかどうかを監査するソフトの新版「Enterprise Security Manager(ESM)6.5」を4月末に発売すると発表した。新版では,コンピュータやネットワークが抱える脆弱性の有無をチェックする機能などを強化した。
ESMは,企業の順守が求められる政府規制や,企業ごとに規定したポリシーに,社内システムが準拠しているかどうかをチェックするために使う。例えば,無用な管理権限を持つユーザー,推測しやすいパスワードのユーザー,不要なサービスを提供しているPC,セキュリティ・パッチを適用していないPC——などの有無をチェックできる。
チェック項目は,あらかじめESMに用意されており,管理者は必要なものを選択してポリシーを設定する。ポリシーの設定を容易にするため,各種のテンプレートを提供する。具体的には,企業会計の不正をチェックする「SOX(Sarbanes-Oxley Act)」,医療情報のプライバシーを保護する「HIPAA(Health Insurance Portability and Accountability Act)」,情報セキュリティ管理のガイドラインである「ISO17799」,顧客などの情報管理を徹底する「個人情報保護法」などに対応するテンプレートを提供する。テンプレートは必要に応じてカスタマイズしたり,組み合わせたりすることが可能だ。
管理対象となるクライアントやサーバーには,あらかじめエージェントを導入しておく必要がある(ネットワーク機器については,エージェントの導入は不要)。管理コンソールからポリシーのチェックを指示したり,あらかじめ設定した日時になると,管理サーバーから各エージェントに命令が送られ,各エージェントが稼働プラットフォームの設定情報や構成情報をチェックする。チェックが終了すると,結果が管理サーバーに集約される仕組みだ。
新版では,チェック項目を約3300項目に増やした(旧版は約2000項目)。例えば,OSやミドルウエア(SQL Server,Oracle Database,Exchange Server)に脆弱性がないか,データのバックアップが正常に完了したか,ネットワーク機器に脆弱性がないか——などのチェック項目が加わった。
価格は,管理サーバーである「Manager」が31万2000円,サーバー用エージェントが15万6000円,クライアント用エージェントが1万5000円など。
