ITセキュリティの強化は，ITサービス・マネジメントの整備と並んで，内部統制強化におけるIT基盤整備の重要なテーマだ。もちろん，自社の状況に合わせた適用が欠かせない。

「セキュリティ対策を行うに当たり，投資の最適化や実施計画など，その基本となる考え方をしっかりとまとめることが欠かせません。そのうえで，即効性が必要な対策と包括的な対応が必要とされる対策を詳細に吟味し，展開していくことが重要です」と日本IBMの内山 豊和氏は強調する。IBMでは，こうしたセキュリティ強化を巡る企業からの要請に，トータルに応えるソリューションを用意している。

対策に向けた基本的な考え方を検討する際に問題となるのが，市場に投入されている様々な分野のセキュリティ・ソリューションを，自社に最適な形でいかに選択して適用するかということだ。

これについてIBMでは，企業システムの様々なエリアにおけるセキュリティ上の脅威と，それに向けて必要となる対策を詳細にまとめた独自の「セキュリティ・アーキテクチャ」を策定した。

このアーキテクチャに準じて，ユーザーが既に対策済みのエリアと対策未実施のエリアを洗い出しながら，どこにどういう順序で投資をしていけばよいかという改善計画の立案を支援する「セキュリティ・プランニング・セッション」と呼ばれるサービスを準備している。

即効性が必要とされる対策として，まず挙げられるのがクライアントの保護だ。企業があらかじめ策定したセキュリティ・ポリシーに適合しないPCが，社内ネットワークに接続されることを排除する検疫・認証ソリューション。あるいはPC上での印刷やコピーといったデータ処理をポリシーに則して制御し，情報漏えいをクライアント・サイドで防止するデータ保護ソリューションを，IBMでは提供している。

ネットワーク・セキュリティに関しても，仮想的なパッチを使った独自の機構で，新しく発見されたセキュリティ・ホールへの攻撃をいち早く検知，防御できるアライアンス製品「ISS Proventia」。また，電子メールの内容を監査し，不適切な場合など，そのメールの送信を保留するといったコンテンツ・コントロール機能を備える「Proventia Network Mail Security」を提供，さらにアウトタスキング型の「Eメール・セキュリティー管理サービス」も提供している。

包括的な対応が必要とされる対策としては，ログやIDの管理が挙げられる。このうちログ管理に関して内山氏は，「取得，収集，分析，報告，運用という5つのエリアにおける自社のニーズを検証し，管理の目的と方針を検討することが重要です」と語った。

一方のID管理については，アクセス制御に向けた要請からも統合的な認証基盤を構築し，シングル・サインオン環境を実現することが不可欠である。IBMでは，こうしたニーズを満たすTivoli Identity Managerにより，IDのライフサイクル管理を含むトータルなID管理ソリューションを提供している。

[ 画像クリックで拡大 ]

IBM の提供する「セキュリティ・プランニング・セッション」

ITセキュリティ対策における課題と今後の対応策を整理し，中長期のセキュリティ・ロードマップを作成する。