前回は、ITガバナンスの視点から情報セキュリティマネジメントの考え方や実践のポイントについて説明した。そこで、2回目の今回は、この情報セキュリティマネジメントを実現するために、富士通が提供している包括的なソリューション体系「SafetyRing」について、その概要から具体的な製品までを紹介する。前回同様、富士通 サービスビジネス本部 安心安全ビジネス推進室 室長 太田 大州氏と富士通 セキュリティソリューション本部 情報セキュリティセンター長 塩崎哲夫氏に話を聞いた。

　富士通は、長年にわたって顧客の経営課題に応え、企業価値を向上するためのITソリューションを提供してきた。それはたとえば、競争力向上のための事業構造の革新、収益力向上のための組織改革、新たな収益を確保するための新規事業の創出などを実現させるための仕組みづくりである。
　これらの課題のひとつとして近年非常に重要となっているのが、ビジネス・アシュアランス（統合的なリスクマネジメントによる企業の経営基盤強化）である。もちろん、企業が存続するためのリスクマネジメントは従来から行われてきた。しかし、それらは個別限定的なセキュリティ対策やバックアップなどの形で行われており、全社の経営基盤強化というトータルな考え方で行われてきたわけではない。
　内部統制が企業の義務となった今日では、ここが不十分では事業の存続を脅かす極めて重要な課題となっている。そこで、ビジネス・アシュアランスを提供するしくみとして、従来からあるセキュリティ対策などを組み替え、統合し、今の時代に合わせたものが富士通の安心安全ソリューション「SafetyRing」なのだ。

　「SafetyRing」は、セキュリティソリューションと事業継続ソリューションから構成されている。太田氏は、「今日、この2つは両方とも要求されることが増えています。グローバルでもそういう傾向にあります。そこで、この2つを融合して提供することで、よりトータルでお客様の企業価値向上に貢献したいと考えました。もちろん、窓口も一本化したので、統合的なサービスを提供可能です」と語っている。
　では、その中のセキュリティソリューションについて詳しく紹介していこう。なお、事業継続については次回紹介する。

　セキュリティ対策は、本来トータルで考えなければ意味がない。どこか一カ所でも脆弱なところがあれば、そこを突かれてしまう。太田氏は、「セキュリティというのは、桶のようなものです。たがで締められた板の高さがどんなに高くても、一枚でも低い板があればそこから水が漏れてしまう。したがって、可能な限りまんべんなく対策を施すべきなのです」と説明する。
　そうはいっても、予算には限りがある。一度に何もかもできるとは限らない。そのとき有効となるのが「SafetyRing セキュリティソリューション」のベースとなっているESA（Enterprise Security Architecture）だ。「SafetyRing セキュリティソリューション」は、前回紹介したESAに準拠しているので製品間の接続性や整合性に食い違いがなく、できる対策から行っても最初の投資が無駄にならない。
　また、塩崎氏は「ESAは、効率性、有効性を明らかにするという目的を持った考え方なので、これに準拠した「SafetyRing セキュリティソリューション」を利用していれば、一度にすべてができなくても、残存リスクが明らかになり、少なくともステークホルダーに対して、なぜそのリスクが残っているのかを、きちんと説明できるようになります」と語る。
　さらに、COSOのフレームワーク/COBIT/ITIL/ISO27000に準拠している点も、大きなポイントだ。これらのオープンフレームワークは、今後企業間取引の条件となっていく可能性があるが、これらを読んだだけでは技術的な詳細はわからない。その点「SafetyRing セキュリティソリューション」は、これらに準拠したESAをベースにしているので、手軽にこれらのオープンフレームワークに準拠したシステムを構築できるのだ。
　「SafetyRing セキュリティソリューション」は、組織規定レイヤ、インフラレイヤ、アプリケーションレイヤの3つのレイヤに分けて、さまざまなセキュリティを網羅している。

関連リンク：富士通のエンタープライズセキュリティアーキテクチャー（ESA）

　「SafetyRing セキュリティソリューション」のなかでも、最もベーシックで、重要なのが「セキュリティ統制ソリューション」であり、内部統制に必要な次の4つの要件を満たすソリューションを提供している。

関連リンク：富士通のセキュリティ統制ソリューション

　利用者が確かに本人であるかどうかを保証する認証機能は、セキュリティの原点とも言える。しかし、雇用形態が複雑化し、組織改編が頻繁に起こる現在、この個人認証を確実に行うことは、なかなか困難な作業となっている。特に手作業で保守作業を行っていると、人事異動に迅速に対応できなかったり、退職者のIDが残るといったミスが起こりがちだ。
　これらの問題を解決するのが「IDマネジメントサービス」である。ID情報を一元管理し自動化することで、運用負荷が軽減され、迅速な変更と人的設定ミスの削減が可能だ。
　しかし、ID情報管理は要件定義が難しいと塩崎氏は次のように語る。「利用者や利用アプリケーション・データの洗い出しから、ルールの設計などかなりのノウハウが必要で、ID管理ソフトを単純に導入しようとしてもなかなかうまくいきません。また、ID管理ソフトは、一般的なアプリケーションに対するインターフェースは用意されていますが、自社開発のシステムと接続するためには作り込みが必要です」
　富士通では、現状の診断からコンサルティング、設計・構築、サポートまでをワンストップで提供している。ID管理アプリケーションとしては、Sun Java System Identity ManagerやMicrosoftのActive Directoryなどシステムに合わせて最適なアプリケーションを提案する。

　確実なID管理が行われても、アクセスログなどが適切に収集・保管されていなければ、内部統制としては十分とは言えない。また、システムの安定運用のためには、脆弱性管理や変更管理の確実な把握は不可欠だ。
　しかし、従来ITシステム全体のログを確実に効率よく収集するためにはかなりの手間と運用コストがかかっていた。また、業務サーバーではログ記録スペースが枯渇しないように、古い記録を上書きするサイクリック運用が一般的だが、この方式では一定期間を経過したログ情報は消失してしまう。業務サーバーごとに記録リソースを追加したりログをバックアップ媒体に退避させれば問題は解決するが、そのためにはさらに手間や運用コストがかかってしまう。
　富士通ではこれらの問題を解決するため、ログ記録の基盤となるミドルウエア「Systemwalker Centric Manager（システムウォーカーセントリックマネージャー）」を提供。独自の通信方式で高信頼かつ効率的なログ収集を可能にした。メインフレームからオープン環境までをサポートし、単一の監視画面ですべてを収集・監視できる。また、ログを保管する大容量ストレージ「ETERNUS（エターナス）」シリーズと組み合わせることで、自動的に暗号化を行う改ざん防止機能も実現。確実なログの保管を行うことができる。さらに、PC操作ログ収集サーバー「Systemwalker Desktop Keeper（システムウォーカー デスクトップ キーパー）」と組み合わせれば、PCの操作ログもすべて一元管理が可能だ。

　太田氏は、「SafetyRing セキュリティソリューションは、セキュリティ投資に対する有効性・効率性を意識して整備されています。ぜひこれらをうまく活用して、納得のいくセキュリティ対策を行っていただきたい」と締めくくった。

次回は、富士通の事業継続に対する取り組みや基本的なコンセプトなどを紹介する。

関連リンク：富士通の「Systemwalker Centric Manager」
関連リンク：富士通の「Systemwalker Desktop Keeper」
関連リンク：富士通の「ストレージシステム ETERNUS」