米Sun Microsystemsは米国時間1月24日,身元情報管理ソフトウエア「Java System Identity Auditor」を発表した。社内の身元情報管理インフラと,重要アプリケーションに関連した身元情報を,事前対策的かつ自動的に管理するためのソフトウエア。「企業の情報管理と法規制準拠を支援する」(同社)
同ソフトに内蔵された監査ポリシー・エンジンが,企業の重要アプリケーションのスキャンを行い,不適切な業務分担,許可されていないアクセス権の変更,誤ったアクセス権の付与など,ポリシー違反を監視する。企業は事前に設定された監査ポリシーを適用できるほか,ポリシーのカスタマイズを行える。
同ソフトはレポートを定期的,あるいはポリシー違反発生時に自動的に作成し,ビジネス・プロセス管理者などに送信する。またポリシー違反を検知した場合は,アカウントの無効化やセッションの強制終了など,自動的に対応策を講じることができる。
Identity Auditorは,米Symantecの「Security Management System」など,セキュリティ・イベント管理アプリケーションとの連携も可能。ポリシーに違反した身元情報を突きとめやすくなるため,企業の社内ネットワークが攻撃された場合なども,アカウントの無効化やセッションの終了といった措置をとれるという。
また,ユーザーのアクセス権,アクセス履歴,身元情報やポリシー違反など,法規制準拠に必要なレポートを作成するためのカスタマイズ可能なテンプレートを付属する。法規制への準拠状態を包括的に確認できるダッシュボード機能も備えているので,セキュリティ管理者はポリシー違反の履歴や傾向を把握できる。
Sun社によると,企業は情報管理の責任を定めた米国企業改革法(Sarbanes-Oxley Act)や医療関連データ規格「Healthcare Insurance Portability and Accountability Act(HIPAA)」に準拠するために,財務アプリケーションや医療記録など,社内の情報システムに関するアクセス権を監視/管理する必要があるという。
同社Identity Management担当副社長のSara Gates氏は,「効果的なセキュリティ・コントロールを導入するのは容易ではない。また,身元情報管理を監査するプロセスも分断化しており,手作業で個別に行われているのが現状だ」と説明する。「Identity Auditorは,身元情報管理と,監査に必要なレポート作成を自動化できる」(同氏)
◎関連記事
■米IBMが企業向け情報管理ソフトを発表,「あらゆる形式の情報を統合管理」
■米IBM,身元情報管理ソフトを手掛ける米SRDを買収
■米Microsoft,米企業改革法への準拠を支援するOffice System用アドオンを発表
■米国企業改革法が招くIT現場の混乱(前編)
■「米企業の86%が,企業改革法に準拠するためのプロジェクトを検討中/導入中」,米調査より
■ずさんな個人情報の管理が企業経営を揺さぶる
■米IBM,企業における個人情報の取り扱い方針を記述するための言語を開発
■「2003年にセキュリティ支出を増額した企業は62%,米国では法規制が増額を後押し」,米調査
[発表資料へ]
