変化するITコンプライアンス対応 への統合管理セキュリティフレ への統合管理セキュリティフレー ムワーク 2010年2月3日 日本ヒューレット・パッカード株式会社 テクノロジーサービス事業統括 テクノロジーコンサルティング統括本部 セキュリティソリューション本部 榎本 司 1 ©2010©2010 企業を取り巻くチャレンジ 2 セキュリティ脅威 管理 •トロイの木馬, ウィルス、 ワーム、ハッカー、フィッ シング、スパイウェア •従業員のミス/誤使用 従業 使 •DoS攻撃 •Fraud • • • • • • 新たなテクノロジー 法規制とコンプライアンス • ワイヤレス • モバイル環境 • インスタントメッセー ジ グ ジング • VOIP • ウェブサービス • クラウド、XaaS クラウド X S • Sarbanes Oxley, Basel II, BS7799, ISO 27001,PCI DSS • ステークホルダから のプレッシャー • 新たな法規制 ©2010 パッチ インシデント マルチパスワード アクセス ユーザ管理 サポートコスト/複雑 性 ビジネスへの潜在的な影響 生産性 収益 (影響を受けた従業員数 x 時間) + (作業付加が 生じた時間+ 復旧まで の時間) ダイレクトロス, ビリング ダイレクトロス ロス, 保証金の支払い 将来的な収益への影響, 投資損益 その他の経費 見えないコスト 派遣社員, レンタル機器, 派遣社員 レンタル機器 残業代, 輸送費の追加, 出張費 顧客損失、販売機会損 顧客損失 販売機会損 失、対応のための人的 リソース 財務パフォーマンス 企業イメージのダメージ キャッシュフロー, キ シ 支払 い保証, ロストディスカ ウント (A/P), 財務格付 け 株価 ペナルティ け、株価, ペナルティー 顧客, サプライヤ, 顧客 プ 株式 市場, ビジネスパート ナー, 取引銀行, 法廷・ 内部訴訟 3 ©2010 CIOに求められるバランス リスク管理の重要性 リターンの最大化: リタ ンの最大化 俊敏性の向上: • ビジネス成果を改善する:収益や • 業務部門やそのオペレーションを、変 キャッシュフローの成長、オペレー ションコストの低減 リスクの管理: パフォーマンス改善: • 外部のリスクファクターへの露出を 外部のリスクファクタ への露出を • 企業全体にまたがるエンド 企業全体にまたがるエンド・ツー・エン ツ エン 最小化し、内部的な業務オペレー ションのセキュリティや継続性の保 証 4 ©2010 化するビジネスニーズに対応できるよ うにする ドの業務オペレーションのパフォーマ ンス改善 • 顧客や従業員の満足度向上 ITインフラの変化 ホスティング アウトソーシング事業者 エンタープライズ・クラス ソフトウェア IT部門 サービス・ポートフォリオの提供 事業部 社外 サービス 専有インフラストラクチャ S エンタープライズ・クラス ソフトウェア 専有 共有 社内 サービス インフラストラクチャ インフラストラクチャ S クラウド・サービス事業者 グローバル・クラス ソフトウェア 共有インフラストラクチャ 5 ©2010 S クラウド サービス 事業の成果 ITセキュリティ投資の意義 ITシステムを攻撃から守るための予防措置 法令遵守、説明責任、リスクマネジメント 業務・ビジネスを迅速に遂行するためのバックボーン ITセキュリティにおける戦略的視点 法令遵守 法令遵守、説明責任 説明責任 •リアクティブからプロアクティブ リアクティブからプロアクティブ 業務・ビジネスの迅速な遂行を実現するバックボーン •製品指向からプロセス指向 •セキュリティ セキュリティ as as-a-ITサービス a ITサ ビス 6 ©2010 ITインフラの変化伴う、ITセキュリティインフ ラストラクチャ変革の必要性 ク 変革 必要性 サ ビスB サービスB ネットワーク ネットワーク サーバー サーバー ストレージ ストレ ジ ストレージ ストレ ジ ITセキ リティインフラ ITセキュリティインフラ データベース ネットワーク 信頼性・管理性・俊敏性 OS に優れたIT に優れた ITインフラ インフラ サーバー 一貫性と計画性のある セキュリティガバナンス データベース アプリケーション セキュリティインシデン トト情報の統合合 ト データベース アプリケーション アアクセス管理の統合 ア ID& バ アプリケーション サ ビスA サービスB サービスA サ ビスB ン アプリケーション ュ ュ サ ビスA サービスA ストレージ セキュリティがビジネスのボトルネック •統一化されてないセキュリティ運用プロセス •複雑で全体が見えない セキュリティがビジネス・イネイブラー •全体最適指向 •セキュリティ運用プロセスのシンプル化・標準化 •セキュリティ運用プロセスのシンプル化 標準化 •セキュリティ人材不足での限界 •維持、運用管理コストを抑制 •維持管理・コストの増大 •セキュリティリスクの統合管理 •不十分なセキュリティ対策によるリスク 分な キ 策 ビジネ プ セ プリケ シ •ビジネスプロセス、アプリケーションの 信頼性・可用性を保証 •ITの俊敏性の低下 7 ©2010 •ITの俊敏性を向上 HPセキュリティ・フレームワーク ビジネス目標 リスク・マネジメント コンプライアンス セキュリティ・プランニング&ガバナンス アイデンティティ &アクセス・マネジメント プロアクティブ・ プロアクティブ・ セキュリティ・マネジメント セキュリティ・マネジメント トラステッド・インフラストラクチャ 8 ©2010 HPセキュリティ・フレームワーク ビジネス目標 リスク・マネジメント コンプライアンス 2 ITセキュリティ 2. 管理プロセスの最適化 セキュリティ・プランニング&ガバナンス 1 アイデンティティ &アクセス・マネジメント 2 4 3 プロアクティブ・ プロアクティブ・ セキュリティ・マネジメント セキュリティ・マネジメント トラステッド・インフラストラクチャ 9 ©2010 1 ITセキュリティの 1. ガバナンス構造設計 2 3. ビルトイン・セキュリティ開 ビ トイ セキ リ 開 発とシンプル化・標準化 の推進 4. ITセキュリティプロセスの 自動化・統合化 コンプライアンス統合管理 フレームワーク by UCF of NANAROQ (ナナロク) 10 ©2010 -コンプライアンス対応における現状と課題(弊社認識) 様々な団体から多様な要求があるため、企業はそれに振り回され、不要な費用を支払っています コンプライアンス環境 企業や自治体にみられる状況 国、地方自治体、産業界等、 様々な団体から多数の法令へ の対応を要求される 各コンプライアンスごとに個別に 対応している (同じことをそれぞれの法令対 応で実施している) 事件発生等、事あるたびに法令 事件発生等 事あるたびに法令 が更新されたり、新規施行され たりする 発令元が個別に行動しているた め、類似した要求が別の言葉で 述べられ、各法令に類似した要 各 求事項が散在している 11 不要な工数(コスト) が発生している 新規法令対応等の要求時、今 新規法令対応等の要求時 今 までの対応を有効に活用できな い ©2010 © 2010 NANAROQ Inc. コンプライアンス対応における改善余地 各法令の要求事項には重複があり、それを整理することにより必要最小限な対応でコンプライアンス を達成可能です。 最適化前 適 前 各法令に個別に対応するため、対応 必要な要求の数は莫大 JSOX ISO 要求事項の重複整理(イメージ) 事 複整 ジ 言い回し等が異なるが、実は各法令で重複した要求が多数存 在 最適化後 適 後 要求事項は体系的に整理 全体の要求事項の数は大幅に削減 要求1 要求2 要求3 ・・・ 要求1 要求2 要求3 ・・・ JSOX ISO 要求1 要求2 要求1 要求2 要求3 要求3 要求4 個人情報保護 ・・・ 最適化された要求事項 IT戦略 要求1 要求2 要求3 要求4 監査・ リスク管理 要求5 個人情報保護 要求 要求5 要求6 要求6 要求 要求 要求1 要求2 要求3 ・・・ ・・・ 12 ©2010 © 2010 NANAROQ Inc. 要求4 要求5 要求 要求6 運用監視 ・・・ 要求7 要求A 要求B 要求C ・・・ UCF(Unified Compliance Framework)のご紹介 ○概要 • NANAROQ UCFは、世界中の法令 UCFは 世界中の法令・レギュレーションとIT統制をマップする世界で初めてのフレームワーク レギュレ ションとIT統制をマップする世界で初めてのフレ ムワ ク です。 • 各法令ごとにばらばらの要求事項を整理し、要求事項を最適化します。(最小化、階層化) • 最適化された要求事項に対する統制をひとつのエクセルシート(UCF)で管理することにより、お客様は1枚 のエクセルシ トで全てのコンプライアンス業務への対応を実現可能です。 のエクセルシートで全てのコンプライアンス業務への対応を実現可能です 業界別規定 (PCIDSS等) 法令 (J-SOX/個人情報保護法等) 社外 最適化 コンプライアンス数:448 国際規格(ISO/TIL等) 証券取引所上場規定 IT統制 :2651 監査法人/QSA等 社内 UCF(エクセルシート) 業界ガイドライン リンク 経営陣/管理者層 官公庁ガイドライン (総務省/金融庁) システムコンフィギュレーション ガイド イ ガイドライン 詳細情報 ・・・ 13 内部監査人/スタッフ ©2010 © 2010 NANAROQ Inc. UCFの実現すること NANAROQ UCFはお客様の法令対応を効率化し、コスト削減を実現します 社内のコンプライアンス文書における重複、 それによる矛盾を明確化できます 複数の法令/規制等に対して、同時 にコンプライアンスを主張できます ⇒不要な文書類の廃止 ⇒不要なレポート作成業務の 廃止(自動化*1) ×× ポリシーポリシーポリシーポリシー 業界別規定 (PCIDSS等) 整理 法令 (J-SOX等) コンプライアンス数: プ 448 国際規格(ISO/TIL等) 証券取引所上場規定 IT統制 :2651 業界ガイドライン UCF(エクセルシート) リンク 経営陣/管理者層 詳細情報 ・・・ 14 監査法人/QSA等 社内 官公庁ガイドライン (総務省/金融庁) システムコンフィギュ レーションガイドライン ガイド イ 社外 内部監査人/スタッフ 500以上もある複雑な法令の要求事項に対して 一つのコントロールを定義できます コントロールに関する詳細や原文を容易に参 照可能です ⇒管理すべきIT統制項目の削減 ©2010 ⇒法令調査・分析業務の自動化 *1:GRCツールの活用による © 2010 NANAROQ Inc. 14 -UCFによる重複把握の例 PCIDSSに新規対応する際、他の対応済みコンプライアンスがあれば、大幅に対応項目数を削減す ることができます。 PCIDSSへの対応イメージ PCIDSSに対応する際の検討項目削減事例 残検討 対応済コンプライアンス Cobit ISMS 個人情報US-SOX 項目数 項目 削減率 - - - - 228 - ○ - - - 199 13% - ○ - - 173 24% - ○ ○ 172 25% - - - ○ 170 25% - ○ - ○ 141 38% - ○ ○ ○ 141 38% ISMS、個人情報保護、USSOX法を既に対応済みであれば PCIDSSと38%が重複。 他コンプライアンスにおける既検討事項の把握により、 PCIDSS対応時の検討項目を大幅に削減可能 15 ©2010 © 2010 NANAROQ Inc. (参考)UCFの考案者 ◆UCFの考案者 Network Frontiers LLC (ITコンサルティングファーム)と Latham & Watkins LLP(世界的な法律事務所)が協働で フレームワークを開発 ワ クを開発 ◆2009年ガートナー リスクマネージメント&コンプライア ンス部門にてクールベンダーとしてノミネート ◆UCFサイト(US)へのリンク URL:http://www.unifiedcompliance.com/ 16 ©2010 © 2010 NANAROQ Inc. (参考)UCFパートナー(US)のご紹介 USにおいては、多数の企業がUCFを導入しています。また、UCFフレームワークを利用した製品や サービスが多々開発されています。 海外におけるUCF利用状況 17 ©2010 © 2010 NANAROQ Inc. 17 (参考)UCFサービス提供体制 NANAROQはNetworkFrontierとパートナリングによりUCFサービスを提供していきます。 US NetworkFrontier 18 Japan NANAROQ US/International 法令対応 Japan 法令対応 品質管理 日本語化 ©2010 © 2010 NANAROQ Inc. パートナー コンサルティング -コンプライアンス診断サービスとは – コンプライアンス診断サービスとは、UCFのフレームワークを活用し、コンプライアンス対応において、 重複している可能性のある事項を抽出するサービスです。 • 重複コントロールのリスト化 • 合計コントロールの数の提示 – 本サービスを利用することで、以下の利点があります。 • コスト削減の可能性がある領域の把握 • 新規コンプライアンス対応の際の重複事項の把握 – 対応コンプライアンスは以下の通りです。 • 対応済 及び対応予定 対応済み及び対応予定のコンプライアンスを選択可能 プ イ を選択 能 − ISO 27001(ISMS) − ISO 27002 − 個人情報保護法令 2003 • (次世代電子商取引推進協議会) 民間部門における電子商取引に係る個人情報の保護 に関するガイドライン • (経済産業省) 個人情報保護ハンドブック 1998 − PCI DSS v1.2 − J-SOX − Cobit 4 4.1 1 19 ©2010 − BCI その他 約450の法令 © 2010 NANAROQ Inc. HPでの取り組み 20 ©2010 HP社のEAプログラム 6レイヤー構成(階層性) Enterprise Architecture Program ビジネス主導 活動は毎週報告される進捗管理票: 活動は毎週報告される進捗管理票 Plan of Record (POR)で管理 原則:Principleをベースに展開 各レイヤーを約200のドメインに分けて管理 成果物と評価基準が定義されている 21 ©2010 HP社の例 社 例 HP社のITセキュリティ(1) ( ) ITガバナンスとの関係 HP社のITセキュリティとガバナンス セキ リテ とガバナンス ITガバナンスとEA (Enterprise Architecture)が一体化しており、 セキ リテ は共通のIT原則とし 定義 セキュリティは共通のIT原則として定義 対応組織は、EAのドメイン毎に定義 担当組織は、関連するポリシー・スタン ダードやアーキテクチャについて 他のドメインとの調整を実施 HP社の例 社 例 セキュリティに必要な ITガバナンスの明確化 対象の明確化 レベルの明確化 組織がEAのドメインに対応しているのは、 組織がEAのドメインに対応しているのは 従来型の組織構成では、機能のオーバラップ や複数の標準の発生が懸念されるためと、 ホワイト・スペース(空白部)の発生を防ぐため HPにおけるIT利用のすべて (ヒト、HW、SW、プロセス) 全社で標準化 強い強制力 ライフサイクル全般での定義 ライ サイク 全般 の定義 企画・開発・運用・モニタリングの 全フェーズでの統制の実施 内部監査の実施 22 ©2010 独立的な内部監査組織による 一貫した監査の実施(Boardに報告) HP社のITセキュリティ(2) ( ) ITアーキテクチャとの関係 HP社のITセキュリティと セキ リテ とEA EA (Enterprise Architecture)の 中でCore Infrastructureの重要ド メインとして定義され、各種のセ と 定義され 各種 キュリティ・アーキテクチャを定義 全社で標準化されたITアーキテク チャがセキュリティ対策に重要な が 策 貢献をしている (統一されたPC環境、シンプルな IDおよびアクセス管理方式) セキュリティに必要な ITアーキテクチャの明確化 重要な全社標準のインフラとして定義 ©2010 ID・パスワードの最小化(~3)、 ヒトとモノの管理の徹底 (Enterprise Directoryと構成管理DB) ア アーキテクチャに基づく キテクチャに基づく、中長期的な視点 中長期的な視点 でのセキュリティ対策(サービス)の実施 23 利用者~IT~データの関係を ライフサイクルを通じて定義 セキュリティ・インフラは共通インフラとして、 すべてのアプリケーションが利用 標準性を追求したシンプルなモデル 担当部署は、アーキテクチャ定義 に従い、各種セキュリティ・サービ スを 提供 HP社の例 社 例 必要セキュリティ機能のEAへの取り込み HP社のITセキュリティ(3) ( ) セキュリティ・サービスとしての提供 HP社のITセキュリティ・サービス セキ リテ サ ビ セキュリティに必要な セキュリティは“サービス”として提供 ITサービスの提供 されており、標準+オプションのサー ビ と ビスとしてビジネス・マネジメントされ ビジネ ネジ され ている(品質・コスト・納期と品揃えを 評価) サ サービス・カタログ化による、 カタ グ化による、 セキュリティの管理対象とその管理プ 管 象 管 プ ロセス(インシデント、変更、構成管理 等)が明確に定義されており、サービ ス管理(ITILベ ス)が行われている ス管理(ITILベース)が行われている より良いサービスを提供することが、 ITセキュリティの向上へとつながって いる コストと必要レベルの選択 把握 サービス毎に有効性を把握・評価 各種改善活動へ展開 プロアクティブな セキュリティ・サービスの提供 ©2010 セキュリティ・サービスをカタログ化し、 コストとレベルを提示 “サービス”としてビジネス管理 サービス・モニタリングによる有効性の 24 HP社の例 社 例 新サービスの積極的な投入 旧技術のリタイアメント促進 旧技術 リタイア ン 促進 参考:セキュリティ・サービスの例 Business Strategy gy ID、認証、認可 セキュリティ・ポリシー、 IDプロビジョニング管理 ディレクトリ、メタ・ディレクトリ Business Processes Business アクセス管理 PKI ERP CollaborC ll b ation … Productivity Demand SSO ストラテジー策定 リスク、脅威・脆弱性 アセスメント セキュリティ・トレーニング CRM Application Services スマート・カード利用 Level リモート・アクセス services services services インフラストラクチャ・セキュリ Level Virtualized resources Virtualization ティ R Resource Sourcing Sharing Pooling 物理的資産保護 Level ネットワーク・セキュリティ Resources インターネット・セキュリティ Environシステム・ハードニング Clients Printers Servers Storage Network Content ment セキュアー・プリンティング セキュアー・メール Manage アプリケーション・スキャンニン Infrastructure & control グ Integrate & Orchestrate セキュア セキュアー・ストレージ ・ストレ ジ 媒体管理 plan, design, deploy, manage, evolve 暗号化・・・ 25 ©2010 Maintain services … Monitor Grid Control Web Inventory Security Provision Registry Plan コンテンツ認証.. 個別アプリケーション・ Service Infrastructure services クライアント認証 セキュリティ セキ リ コンプライアンス、 レギュレーション対応 証跡保存 職務分掌 プライバシー対応 セキュリティ・ポリシー管理 セキュリティ・イベント収集 セキ リテ イベント収集 セキュリティ・インシデント管 理 インシデント・レスポンス管理 理想とするITセキュリティの未来像は… HP社の事例 社 事例 ビジネスと ITセキュリティは、 密接に結び付き 共生関係にある 密接に結び付き、共生関係にある – ビジネスの方針がセキュリティの変化に制約を受けずにすむ (俊敏性の高いエンタープライズ) 俊敏性 高 タ プ イズ – 新しいテクノロジーが導入されるたびにセキュリティインフラを設計し直す 必要がない – (テクノロジーの統合) – 法規制に対応するために多くの時間と労力を費やす必要がない 規制 応す 多く 時 労 を費 す がな – (継続的なコンプライアンス) – 新しい脅威を心配する必要がない – セキュリティインフラが自動的に予知し、 対応してくれる – 26 (アダプティブな防御) ダプ ブ ©2010 HPセキュリティマップ 27 ©2010 セキュリティ・ソリューション・マップ (技術カテゴリ) 技術カ ゴ Network Server Client OS Application アイデンティ ティ ア & クセス ・マネジメント 認証ネットワーク アクセス制御(認可) Clientアクセス制御 アイデンティティ管 理 OSアクセス制御 Webアクセス制御 アイデンティティ管理 ディレクトリ プロアクティブ ・セキュリティ ・マネジメント 変更・構成管理 Network構成管理 Client構成管理 イベント・インシデ ント 管理 Network監査 Client監査 イベント・インシデント統合管理 Server監査 DB監査 各システムのイベント機能 統合ログ管理 各システムのログ機能 アーカイブ メールアーカイブ 脆弱性管理 トラステッド・ インフラストラクチャ 情報漏洩対策 暗号化 改ざん検知 検知 28 ©2010 Storage構成管理 Server構成管理 統合ログ管理 検疫・ウィルス対 策・ ワ ム対策 ワーム対策 Tap e 高強度の認証 PKI 認証 ファイウォール・ 侵入検知・防御 Storag e DB ファイアウォール、IDS・IPS ゲートウェイ型 ウィルス対策 ウィ 対策 デスクトップ・ファイアウォール Webアプリ検査 OSハーデニング WAF ウィルス対策 検疫ネットワーク ゲートウェイ型情報漏洩対策 ホスト型検査 持ち出し制御 DLP VPN、SSL、S-MIME DB暗号化 暗号化 改ざん検知 Storage/Tape 暗号化 セキュリティ・ソリューション・マップ (製品/ ンサルティング サ ビス) (製品/コンサルティング・サービス) Network アイデンティ ティ ア & クセス ・マネジメント 認証 アクセス制御(認可) Server Client OS HP Quarantine System、 HP Procurve、 Ci Cisco、Aruba A b ベリサインマネージドPKI、Entrust PKI HP CCI CCI、秘文、、 秘文 Digital Guardian、Citrix HP UX11i HP-UX11i、 PowerBroker Red Hat Directory Server for HP-UX、Active Directory HP Universal CMDB プロアクティブ ・セキュリティ ・マネジメント HP Network Automation software HP Client Automation software ESS REC Remote Access Auditor IPLocks 各システムのイベント HP Compliance Log Warehaouse、SenSgae 各システムのログ アーカイブ HP IAP、Enterprise Vault 脆弱性管理 トラステッド・ インフラストラクチャ 検疫・ウィルス対 策・ ワーム対策 HP Storage Essentials software HP Server Automation software HP software製品群 MSIESER 統合ログ管理 ファイウォール・ 侵 検知 防御 侵入検知・防御 HP IceWall SSO Oracle Identy Manage、Exgen LDAPManager、MS ILM、IceWall Identity Manager、INTEC 結人束人 構成管理 イベント・インシデ ント 管理 DB Cisco、Fortinet、Juniper、 p Nokia、Radware Fortinet Symantec ESM HP WebInspect HP UX11i HP-UX11i HP IceWall MCRP Symantec Endpoint Protection HP Quarantine System Symantec Endpoint Protection、Trendmicro、 MS Forefront Client Security MS Forefront Security 情報漏洩対策 Symantec DLP HP Protect Tools、HP CCI、秘文、 、 Digital Guardian、Citrix、Symante Vontsu Symantec DLP 暗号化 Cisco、F5、Fortinet 秘文、、 Digital Guardian Oracle Advanced Security 改ざん検知 セキュリティ ・プランニング ガ & バナンス アセスメント・ポリ シー ・アドバイザリー アイデンティティ &アクセス管理 2929 ©20102009/4/17 統合ログ管理 Tap e HP Protect Tools、UBF、SyncLock アイデンティティ管 理 変更自動化 Application Storag e HP SKM Tripwire セキュリティ・アセスメント コンサルティング、セキュリティ・ポリシー体系策定支援 コンサルティング、セキュリティ・アドバイザリー コンサルティング アイデンティティ&アクセス・マネジメント アーキテクチャ・コンサルティング Copyright © 2009 HP corporate presentation. All rights reserved. 統合ログ管理 コンサルティング 監査時に求められる統合 ログ管理のポイント 30 ©2010 監査時に、なぜログを残しておくんですか??? とにかく、 ログの収集は 必須 ログがなければ、評価できない 処理が正常に終わっているのか 不正なアクセスがないのか が 適切な管理者作業が 行なわれたのか 31 ©2010 とりあえず、 ログはしばらく 取っておくこと 長期保管されていないと 監査に利用できない 監査は週次で実施するものではない 週次ローテーションでは× 内部統制における4つの統制評価とその評価 順序 手順① 全社統制 (IT全社統制を含む) 全社統制に依拠 手順② IT全般統制 (ITGC) 依拠する統制を先行し て評価し、その評価結 評価し そ 評価結 果が良好であれば 全社統制に依拠 続く被監査対象に対す る監査手続を緩めるこ とが可能になる。 ITGCに依拠 例: ITGCにおける業務システムへの アクセス権管理が適切 ↓ ITACで業務システム上の承認機能が適 切に機能していることを画面で確認 機能 を 確 ↓ 業務処理統制では承認による統制は、継 続的に機能しているとして 件数を減ら 件数を減らして評価することが可能 評価する とが 能 32 ©2010 手順③ IT業務処理統制 (ITAC) ITACに依拠 自動化済み 統制 手順④ 手動の統制 業務処理統制 内部統制における対象範囲の考え方(例) ( ) 業務処理統制 IT業務処理統制 財務報告に係る業務の抽出 IT利用 手作業 財務報告に係る業務で使われるIT 入力規制 出力(印刷) 計算処理 データI/F マスタ修正 … ユーザID ユ ザID IT全般統制 変更・リリース管理 変更 リリ ス管理 Job管理 DB管理 システムアカウント管理 ※ 特に、特権ユ 特に 特権ユーザは上記のIT全般統制を破壊しうる力を持つ ザは上記のIT全般統制を破壊しうる力を持つ OS管理 ネットワーク管理 セキュリティ管理 スプレッドシート スプレッドシ ト 統制 財務報告に係る業務で使われるITを支えるインフラ 33 ©2010 ログ 管理 内部統制における統合ログ管理の意義 ログの統合管理による統制の強化 アクセスログ・モニタリングの一元化 ユ ユーザIDの統合が前提 ザIDの統合が前提 問題発生時の横断的な調査 スプレッドシート統制の強化 内部統制の観点から見た2種類のログ IT業務処理統制のログ いわゆる“アプリケーション・ログ” IT全般統制のログ OS、MW、NW… 34 ©2010 のログなど 統合ログ管理の利用局面 特権ユーザ操作、データベース操作な ど、データ改ざんの可能性に対する 十分な配慮と対応が求められる オペレ ション管理の重要性 オペレーション管理の重要性 ・・・ データ改ざんにつながるオペレーショ ンや設定について厳重な管理が必 要 ログ取得(保管) だけではダメ! 特権を使わない 複数人で作業する 作業記録の第3者チェック 操作ログの取得とモニタリン グ 厳密なデータ修正管理が必要 鍵は、 “ログをどう使っているか” 35 ©2010 データ改ざん防止のため、 デ タ改ざん防止のため データ修正の管理は極めて重要 OS特権の管理以上に重要 Proof P f Listの出力が望ましい Li tの出力が望ましい モニタリングを行う 監査で求められる要件は・・・ モニタリング 業務が適切に行われていること してる? 業務プロセスの設計だけに 抜け・漏れがないこと 注力していると、 これらは保証があることが望ましい。 “Check”の設計が欠落しがち Check”の設計が欠落しがち → 発見統制※ モ タリング モニタリング 監査人からは モニタリングの 有無・内容について 繰り返し質問される ※ 問題が起こらないようにする統制 = 予防統制 問題が起こった後に対応する統制 = 発見統制 36 ©2010 ただし、ログの取得・保管だけではダメ! ~ 対応例 ~ 運用実績(問合せ、障害、キャパシティ 運用実績(問合せ 障害 キャパシティ など)の集計と抜け漏れの確認 集計結果のレビューや運用改善の検 討 etc. etc IT内部統制システムの全体像 モニタリング視点 ユーザ ザ 改善 日常業務 対応 応 IT部門の担当範囲 IT内部統制システム 日常的モニタリング(業務上の不正や誤謬の防止、監視) 改善 評 価 証跡 評価 日常的モニタリング (自己点検・自己評価) 報告 評 評価 証跡 評 価 独立的評価(内部監査) 37 ©2010 指示 報告 経営者 ソリューションのご紹介 統合ログ管理 38 ©2010 統合ログ管理で広がる世界 業務の見える化 運用の効率化 就労時間の把握 業務のトレース 運用コスト削減 システム監視 運用者・管理者 操作履歴 セキュリティ マネジメント セキュリティ対応 39 ©2010 ログマネージメント セキュリティ インシデント化 資産利用履歴 の把握 コンプライアンス 対応 ガバナンス 内部統制対応 部統制対 サービス利用履歴 の把握 資産・構成管理 ログ管理の現状と問題点 • これまでのログの管理は、システム単位に実施される「サイロ型」で これまでの グの管理は、システム単位に実施される サイ 型」で の実装でしたが、様々な問題点が指摘されています。 システムA ミドルウェア ミドルウェア サーバ 収集ポリシ 管理者X 40 ©2010 UI 検索 LOG アプリケーション LOG アプリケーション ログサーバ 運用(操作)ログ 運用(操作) グ の取得はできて いるか? シ テムB システムB サーバ ログサーバ 収集ポリシ UI 検索 ・・・・・ ログ自身のセキュ リティ対策(保護) はできているか? 管理者Y 各システムのログ が分散し 切分 が分散し、切分 け・分析が困難で はないか? 収集・保管ポリシがバ ラバラではないか? ログ管理の標準化 各システムからログに関連する仕組みを切り離し、新たに統合ログ管理 各システムから グに関連する仕組みを切り離し、新たに統合 グ管理 プラットフォームを構築・運用することで統合ログ管理を実現 システムA アプリケーション システムB LOG アプリケーション ミドルウェア ミドルウェア サーバ サーバ 統合ログ管理プラットフォーム 改ざん対策 統合ログ 管理システム 標準化された収集ポリシ 管理者 X 41 ©2010 アクセスコントロール 統一化されたUI 管理者 Y 柔軟な検索 統合ログ管理ソリューションの対応範囲 • 運用管理システムや特定のログ管理ソリューションによる対応も存在 したが 対応範囲が限定的 したが、対応範囲が限定的 収集 監視 保管 保護 分析 監査 システムログカテゴリ システム運用上 コンプライアンスや内部統制にて 求められる機能 求められる機能 (ERP CRM (ERP, CRM, Various App App.)) Middleware Application (DB, Email, Web/App Server, File Server, IAM etc.) Security (IDS/IPS, AntiVirus, SIM/SEM/EMS, Vulnerability Mgmt.) Key Log System (ServerOS, Desktop, Mainframe) Access log Operation log Network (FW/VPN, Router/Switch, Traffic Mgmt., Remote Access) 42 ©2010 運用 用管理シス ステム (一部未 未対応のも ものあり) Horizontal Application File Svr.管理ソリューション Key Log管理ソリューション 統合ログ管理 ソリューション 統合ログ管理基盤の実装例 • 弊社が数多く経験して る グ管理の実装イ 弊社が数多く経験しているログ管理の実装イメージは以下となります。 ジは以下となります。 データベース Windows 操作ログ NW機器/syslog Event Log 各種アプリ Text Log Syslog UNIX/Linux DB監査 Text Log 操作ログ CLW ファイルサーバ Compliance Log Warehouse 統合ログ管理 43 ©2010 ファイルサーバ監査 統合ログ管理とは 拡張性 1 2 3 4 44 ©2010 初期段階は、管理目的も絞られており、ス 初期段階は 管理目的も絞られており ス モールスタートを実施することになることが大半です。しかし、一度導入すると長 期間利用することになり、様々なアプリ・インフラにおけるログを収集する必要が 継続的に発生します。一般的に、収集能力/検索スピードについては、スケール アップよりスケールアウトの方が、拡張性に優れています。 プ ウ 方が 拡 性 優れ ます 柔軟性 ビジネス要件・セキュリティ要件・運用要件・ 監査要件は常に変化します 当然ながら システムは変化への対応が求められ 監査要件は常に変化します。当然ながら、システムは変化への対応が求められ ます。具体的には取り込むべきログの追加や、出力すべきアウトプットの変更が 発生しますが、その対応力(柔軟性)は初期段階で考慮すべきです。 証跡化 必要な情報を、導入済みのアプリ・ミドルウェ ア・OSの標準ログ機能から取得できるとは限りません。分析すべき内容によっ ては、個別にログを出力する仕組み(フロー)を用意する必要があります。 ては、個別に グを出力する仕組み(フ )を用意する必要があります。 分析力 統合管理されるログは、多面的な分析ができ るポテンシャルを秘めています 例えば 入退室ログによる就労時間の把握や るポテンシャルを秘めています。例えば、入退室ログによる就労時間の把握や、 印刷ログによるプリンタや座席配置への参考情報化などです。 ソフトウェア、OS、HWが一つにまとまった HP COMPLIANCE LOG WAREHOUSE セットアップの簡略化 統合ログ管理アプライアンス (CLW) ・HP高信頼性プラットフォームをベースにした2U 高信頼性プ をベ アプライアンス ・RHEL上に、ログ管理ツールである SenSage ESAをプリインストール ESAをプリインスト ル ・HP独自のツールにより、直感的なパラメータ設 定が可能なため、素早く簡単に初期起動・設定し、 ログ管理をスタートさせることが可能 HP Compliance Log Warehouse 標準装備のサンプル類 ・Compliance Analytics、Foundation Analytics 等のレポートサンプル(要カスタマイズ) 等のレポ トサンプル(要カスタマイズ) ・SLSへのロード準備や正常ロード確認など、処 理の自動化を行うサンプルスクリプトをバンドル HP高信頼性プラットフォーム パフォーマンスの最適化 パフォ マンスの最適化 高速ログ取り込み、高速検索が可能なアーキテ クチャ サポ トの統合 サポートの統合 HP のサポート窓口によるサポート 45 ©2010 + HPのレスポンス センタで保守対応 HP COMPLIANCE LOG WAREHOUSE (CLW) とは 柔軟な アウトプット 各種ログソース からの出力 ① ログデータ の取込 Collector Log Adapter ② リアルタイム アラート Real-time Engine Console Report Manager Dashboard CL W Compliance Log Warehouse Scalable Log Server メール等による メ ル等による アラート 46 ©2010 – 4 6 ③ レポート・ ダッシュボード 高圧縮 ・長期保管 ⑤ Compliance Analytics Foundation Analytics 標準テンプレート 分析・調査 ④ CLWのコンポーネント または機能 独自DB 統合ログ管理とは • HP CLWは CLWは、統合ログ管理製品として、下記のようなメリットをお客様 統合ログ管理製品として 下記のようなメリットをお客様 へ提供し、様々な課題を解決致します。 複雑な環境・要件への柔軟性 ・テキストであれば取込可 ・アウトプット(レポートや アウトプット(レポ トや ダッシュボード)の柔軟性 既存環境への影響がない ・可能な限り標準的な転送 方式を採用(syslog-ng, scp, sftp) ・パフォーマンス劣化等、考 慮不要 47 ©2010 長期に利用可能な拡張性 ・リニアに性能向上する スケールアウト構成 スケ ルアウト構成 ・解凍不要な圧縮機能 ・外部NASへの退避機能 アプライアンス ・ 導入が容易 ・ セキュリティ強化 ・ サポートの一元化 HP 統合ログ管理 CLWのまとめ 拡張性 1 2 3 48 ©2010 初期段階は、管理目的も絞られており、ス モールスタートになることが大半です。しかし、一度導入すると長期利用するこ とになり、様々なアプリ・インフラにおけるログを収集する必要が継続的に発生 します CLWはスケールアウト構成により リニアに拡張することが可能です します。CLWはスケールアウト構成により、リニアに拡張することが可能です。 また、高度な圧縮機能(解凍が不要)を持っていたり、スケジューリングにより NASに退避したログも検索・レポート対象に常時含めることが可能です。 柔軟性 ビジネス要件・セキュリティ要件・運用要件・ 監査要件は常に変化しますので、当然ながら、システム側でも変化への対応が 求められます 具体的には取り込むべきログの追加や 出力すべきアウトプット 求められます。具体的には取り込むべきログの追加や、出力すべきアウトプット の変更が発生します。CLWは、その対応力が非常に柔軟です。また、複数行で 1イベントを表すログ形式でも、CLW側に取り込むことが可能です。 アプライアンス ソフトウェアであるSenSageのプリインストー ルがされたアプライアンスのご提供により、導入が容易になり、かつセキュリティ 強化実装も施されております ハードウェアからOS 強化実装も施されております。ハ ドウェアからOS、ソフトウェアまでhpで ソフトウェアまでhpで一元 元 的に保守・サポートすることが可能です。 統合ログ管理事例 統合ログ管理ソリューションによりクライアントセキュリティ製品に おけるログも統合管理 グ • お客様の課題 ログ出力元 − J-SOXに対応する内部統制を実現する必要 − システム実装の一つとして統合ログ管理 − クライアントセキュリティソフトウェアの他、OS、 ファイルサーバなど多種多様なログが対象 ファイルサ バなど多種多様なログが対象 − 対象は数十システム クライアント セキュリティ Windows系 サーバ ログの収集 S S SenSage Collector − 長期のログ保管 • HPのソリューション − 統合ログ管理ソリューションとして SenSageESAを採用 − コンサルティングからログ管理システムの構 築まで一貫して対応 − クライアントセキュリティソフトウェアから SenSageESAにログを取り込み g 49 ©2010 ファイル サーバ ログの保管、分析 SenSage Scalable LogServer SenSage A l Analyzer レポーティング Unix ログは外部ストレー ジに圧縮保管 順次追加予定 レポート ソリューションのご紹介 SSOソリューション HP IceWall SSO 50 ©2010 はじめに HP IceWall SSOは、日本HPが国内で開発し、製品として提供している NO.1* Webシングルサインオンソリューション(Single Sign On=SSO)です。 HP IceWall SSOは、1997年の発売以来、日本国内においてイントラネットサービスや BtoC、BtoBサービス等の多くのシステムへの導入実績があり、現在までに 合計 4,000万以上のユーザライセンスが販売されています。 * 出荷金額ベース 国内Webシングルサインオンパッケージ市場No1 日本HP:35.2%(出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望 内部統制型・情報漏洩防止 型ソリューション編 2009」2009年6月刊) 51 2010/1/29 Copyright © 2009-2010 HP corporate presentation. All rights reserved. HP IceWall SSOとは ~基本機能 基本機能 HP IceWall SSOはシングルサインオンにより、一度の認証で複数のWebアプリケーションへの ログインを実現し、さらにセキュリティと「アクセスコントロールの4A」の統合を実現する製品です。 アプリケーション毎(まかせ)の管理 HP IceWall SSOを用いた統合管理 ■アクセスコントロール4Aが 統合管理されているため、 ユーザの挙動実態が把握可能 ■作業効率も大幅にアップ コンプライアンス オフィサー ■アプリケーション毎にバラバラの アクセスコントロールで実態不明 アクセスコントロ ルで実態不明 ■管理コストもかかる アクセスコントロール4A ・認証 認証 ・認可 認可 ・管理 ・監査証跡 HP IceWall SSO LOG IN ID PASS IT管理者 アプリケーション アプリケーション 管理者 管理者 アプリ別 監査証跡の管理 Webアプリ 52 2010/1/29 Webアプリ Webアプリ Copyright © 2009-2010 HP corporate presentation. All rights reserved. アプリ別 認証・認可 アプリケーション 管理者 アプリ別認証 アクセス制御 HP IceWall SSOとは ~基本構成 基本構成 HP IceWall SSOは、エージェントレスでOSやWebアプリケーションに制限の少ない リバースプロキシ方式を主体としたWebシングルサインオン製品です。 HP IceWall SSO基本構成図 POINT 1 POINT リバースプロキシ方式 すべてのトランザクションが IceWallサーバを通過。 認証認可チェックし、アタックを 防御する働きをします。 2 ・ エージェントの配布不要 HP IceWall SSO ・ OS、Webアプリに制約 が少ない ネットワーク Webアプリケーション IceWall サーバ クライアント PC Webアプリケーション POINT 3 認証モジュール IceWallサーバからの要求を受 け、認証DB上の認証認可情報 と照合し,アクセスログを出力 53 2010/1/29 Webアプリケーション 認証サーバ 認証サ バ Copyright © 2009-2010 HP corporate presentation. All rights reserved. 導入効果 HP IceWall SSOを導入することで、経営者、開発者、管理者、ユーザの皆様にさまざまなメリッ トを与えることができます。 経営者 開発者 ・ 内部からの情報漏洩対策 ・ 内部統制への対応 ・ 証跡の統合管理 管 ・ ミッションクリティカルへの対応 管理者 ・ アプリケーション開発のコスト削減 ・ 既存のWebアプリケーションとの連携 ・ 品質の高い製品の導入 高 ユーザ ・ユ ユーザの統合管理(ID ザの統合管理(ID、パスワ パスワード ド、 属性情報) ・ アクセス制御の統合管理 ・ AD、LDAPとの連携 ・ 運用コストの削減 ・ ITインフラの水平統合化への対応 ITインフラの水平統合化 の対応 ・ 新テクノロジーへの対応 (Webサービ ス等) 54 2010/1/29 Copyright © 2009-2010 HP corporate presentation. All rights reserved. ・ 多くのパスワード管理 ・ アクセスの容易さ ・ アクセス権限のあるアプリケー ションの判別 ・ セルフサービス ■導入効果 管理者の方 管理者の方へ 海外製品のアクセス制御方式で、運用負担が高くなっていませんか? HP IceWall SSOは日本で開発された製品であることを活かし、 日本の組織にあった運用管理ができます。 本 組織 あ 管 が き す 具体例 人事部長から総務部長へ異動となった Aさんのアクセス制御を行う場合 Aさん 個人属性+論理式で アクセス制御 Aさん IF 組織=人事部 IF 組織=総務部 IF 役職=部長 人事用 コンテンツ 55 2010/1/29 HP IceWall SSOのルールベース方式では、 個人属性が変われば自動的に変更処理されるので、 人事異動の多い日本企業でも安心 他社製品のロールベース方式 HP IceWall SSOのルールベース方式 現状 他社製品のロールベース方式では、 個人のロールを新たに割り当てなくてはならないので、 、 その都度、時間と費用がかかってしまう 変更後 現状 Then 人事用コンテンツ Then 総務用コンテンツ Then 部長用コンテンツ 部長用 コンテンツ Aさん 人事部長 個人にロールを割り当て アクセス制御 変更後 総務部長 認可ルール 認可ル ル 総務用 コンテンツ ロールテーブル ロ ルテ ブル 人事用 コンテンツ Copyright © 2009-2010 HP corporate presentation. All rights reserved. 部長用 コンテンツ 総務用 コンテンツ HP IceWall SSOが提供する5つのメリット HP IceWall SSOは利便性のみを追求する単なるポイントソリューションにはとどまらず、 複数の課題を解決し、企業あるいは対外サービス全体でITの最適化に貢献します。 Reliability 信頼 セキュリティ強化で企業の信頼性を向上させます。 Comfort 快適 クオリティの高い製品で快適なワークスタイルを 実現します。 企業が取り扱う個人情報、機密情報などの情報資産をセ キュリティを強化することで守り、お客様や社会から信頼さ れる企業になるためのサポートをします。 きわめて高品質で使いやすい製品です。運用者の負担と、 エンドユーザがアプリケーションを使用する際のストレスを軽 減し、一歩進んだ快適な仕事環境を実現します。 Care 安心 日本開発の製品で、 日本企業への細かいケアを行います。 Flexibility y 柔軟 幅広いビジネス規模・ニーズに柔軟に応え、 未来の可能性を支えます。 グローバルIT企業であるHPの技術と経験をベースに日本国 内で開発をしています。機能・サポートの両面から、日本の 内で開発をしています。機能 サポ トの両面から、日本の 企業文化や組織構造に合わせたきめ細やかなケアを行い、 これによって常に安心してお使いいただくことが可能です。 幅広い価格体系で企業の規模・ニーズに合った適切な導入 ができ、その高い拡張性と他のソリューションとの連携で、長 張 長 く付き合える製品を提供し、企業の未来の可能性を支えます。 Professional 確実 専門的な知識と確実なサポートで 企業のビジネスを止めません。 HPが培ってきた豊富な導入経験と知見に基づき、短期間で の確実な導入が可能です。また、ビジネスニーズに対応した 信頼性の高いサポートで、導入後のご相談やご要望にもス ピーディーに対応し、企業のビジネスを止めません。 56 2010/1/29 Copyright © 2009-2010 HP corporate presentation. All rights reserved. 5つのメリット ■Reliability 信頼 企業が取り扱う個人情報、機密情報などの情報資産をセキュリティを強化することで守り、 お客様や社会から信頼される企業になるためのサポートをします。 セキュリティ強化で企業の信頼性を向上させます POINT 1 ID/パスワード漏洩を防止 ユーザに管理させるID/パス ワードをひとつにすることによ り、セキュリティ強度が上がる POINT 2 HTTP攻撃を防御 攻撃(クロスサイトスクリプ ティング、バッファオーバー フローなど)をシャットアウト POINT 3 情報漏洩を防止 アクセスコントロールやログ の一元管理で不正アクセス を防ぐ ネットワーク Webアプリケーション IceWall サーバ クライアント PC POINT 4 Webアプリケーション 強固な認証を実現 他ソリューションとの連携によ 他ソリ ションとの連携によ る多要素認証や強力なパス ワードポリシーが実現 Webアプリケーション 認証サーバ 57 2010/1/29 Copyright © 2009-2010 HP corporate presentation. All rights reserved. ■Comfort 快適 HP IceWall SSOの処理性能 リバースプロキシ型はプロキシ部分に負荷が集中するためボトルネックになると考えられがちで すが、HP IceWall SSOは処理性能が高いため、ボトルネックにはなりません。 また、認証サーバ部分と認証DBについても非常に高速です。 バ部 も 常 高速 す 現状では極めて大規模なサイトでも数千ヒット/秒 数百ログイン/秒程度と考えられます。 HP IceWall SSOは十分それに耐えうる製品構造をもっています。 高速処理性能の仕組み プロキシ専用。 1,000hit/sec/台以上 dfw->MCRPにより 一層の高速化を実現 HP IceWall SSO Webアプリ IceWallサーバ Network MCRP クライアントPC マルチスレッド、コネクションプール B*Treeなどにより高速処理可能 10,000hit/sec以上 , 58 2010/1/29 認証 モジュール 認証DB 書き込みが早いDBタイプを使用 可能。ログインログアウト時に 各1度のみアクセス 認証サ バ 認証サーバ 1 000ログイン/sec以上 1,000ログイン/sec以上 Copyright © 2009-2010 HP corporate presentation. All rights reserved. ■Comfort 快適 管理ログ HP IceWall SSOは精緻なログの取得が可能です。 内部統制やキャパシティプランニング、問題発生時の課題解決に活かすことができます。 取得可能なログ ■内部統制に重要 誰がいつどのコンテンツにアクセスしたか。ログイン失敗数 (監査証跡) ■キャパシティプランニングに重要 ・ 各Webサーバへのアクセス数、コンテンツサイズ(トラフィック) ・ ログイン中ユーザ数、使用スレッド数、キュー数、コネクション数(ステータス) ■問題発生時の切り分けに重要 各Webサーバ、認証DBのレスポンス時間(パフォーマンス) 59 2010/1/29 Copyright © 2009-2010 HP corporate presentation. All rights reserved. ■Flexibility 柔軟 Windows環境とのSSO HP IceWall SSOはWindowsと統合認証することで、 後段のWebアプリケーションの認証を省略することができます。 Windowsと統合認証した場合 Windowsでの認証を済ませれば、 認証を済ま れば あとは認証いらず LOG IN 統合認証しない場合 STEP 1 Windowsの認証 認証 LOG IN ID PASS ID PASS STEP 2 W Webアプリケーションの認証 bアプリケ シ ンの認証 LOG IN × LOG IN ID PASS ID Webアプリケーションの 認証をする必要なし 60 2010/1/29 PASS Copyright © 2009-2010 HP corporate presentation. All rights reserved. ■Flexibility 柔軟 Windows統合認証とのSSOを実現する仕組み HP IceWall SSOとWindowsとの統合認証は、下記のような仕組みで実現しています。 Kerberos v5 を利用したWindows統合認証とのシングルサインオン Windows サーバ サ バ ドメインコントローラ W2K SP2/ IE6.0SP1以上で 自動ログイン可能 MSAD ①Windowsドメイン ログオン ②アクセス IceWallサーバ Network ③ログイン画面表示 クライアントPC ④自動ログインを選択 認証DB ID : パスワード : 自動ログイン 61 2010/1/29 モジュール 追加 認証サーバ ログイン画面を 表示させないことも可能 Copyright © 2009-2010 HP corporate presentation. All rights reserved. 認証DBの共通化も可能 Webアプリ ■Flexibility 柔軟 他認証システムとの連携 覧 他認証システムとの連携一覧 HP IceWall SSOでは以下の他の認証システムと連携することができます。 ベンダー ベンダ 製品名 種類 IWとの連携 RSAセキュリティ(株) RSA Adaptive Authentication for Web リスクベース認証 連携ソフトウェア提供(有償オプション) RSAセキュリティ(株) RSA Secure ID ハードウェアトークン(ワンタイムパス ワード) 設定で対応 ソニー株式会社 Felica ICカード 設定で対応 ソフトバンクBB株式会社 SyncLock 携帯電話を使用した認証(ワンタイムパ スワード) 連携ソフトウェア提供(有償オプション) (株)ソリトンシステムズ (株)ソリトンシ テ SmartOn ICカード カ ド 設定で対応 日本ベリサイン株式会社 VeriSign ManagedPKI 電子証明書 連携ソフトウェア提供(有償オプション) パスロジ株式会社 PassLogic マトリクス認証(ワンタイムパスワード) ベンダーより接続用モジュール提供 日立ソフトウェアエンジニアリング 日立ソフトウ アエンジニアリング 株式会社 静紋 生体認証(指静脈認証) ベンダ より接続モジ ベンダーより接続モジュール提供 ル提供 マイクロソフト株式会社 Microsoft Windows Windows統合認証 連携ソフトウェア提供(有償オプション) 株式会社 ディー・ディー・エス ID Manager for HP IceWall クライアントサーバーアプリケーションID、 設定で対応 パ パスワード自動代行入力 ド自 株式会社 ディー・ディー・エス EVE MA 多要素認証プラットフォーム 設定で対応 大日本印刷株式会社 TranC’ert Enterprise ICカード(クライアント証明書) 設定で対応 株式会社VASCO Data Security Japan VASCO DIGIPASS ハードウェア/ソフトウェアトークン(ワン タイムパスワード) 設定で対応 株式会社VASCO Data Security Vacman ハードウェア(ワンタイムパスワード) 設定で対応 62 Japan 2010/1/29 Copyright © 2009-2010 HP corporate presentation. All rights reserved. 導入実績 多くのリーディングカンパニーにHP IceWall SSOを認証基盤としてご採用頂いています。 ver.8.0 R3までに4000万超ユーザライセンスを販売。Webシングルサインオンパッケージ市場シェアNO.1* * 出荷金額ベ 出荷金額ベース ス 国内Webシングルサインオンパッケ 国内Webシングルサインオンパッケージ市場No1 ジ市場No1 日本HP:35.2%(出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望 内部統制型・情報漏洩防止型ソリューション編 2009」 2009年6月刊) お客様名 製品エディション システム内容 ユーザ数 イーヒルズ(株)様(森ビルグループ) EE ビジネスポータル(EIP) 5万 NTT ミ NTTコミュニケーションズ(株)様 ケ シ ンズ(株)様 EE PKI EE+PKI B B(ASP) BtoB(ASP) 数万 (株)NTTデータ様 EE+PKI 保険共同ゲートウェイ 無制限 (株)NTT ドコモ 様 EE BtoC 数百万 KDDI (株)様 EE ASP(ファイル交換サービス ) - 住友商事(株)様 EE イントラネット 1.3万 (株)損害保険ジャパン様 EE 代理店システム 数万 トヨタ自動車(株)様 EE (株)三菱東京UFJ銀行(旧 UFJ銀行)様 EE+PKI イントラネット、エクストラネット、 GSSO(SAML) インターネットバンキング 数百万 三菱UFJインフォメーションテクノロジー(株) 三菱UFJインフォメ ションテクノ ジ (株) 様 EE マーケットプレイス マ ケットプレイス 3万 ソネットエンタテインメント(株) 様 SE イントラネット - (株)アット東京 様 SE イントラネット 数百 大手損保 証券会社 EE+PKI EE 代理店システム イントラネット 10万~ 4000 証券会社 EE Bt C BtoC 10万 10万~ 新聞社 EE イントラネット 5000 保険会社 EE イントラネット 10万 ユーティリティ会社 EE イントラネット 5万 通信会社 SE BtoB 1000~ 大学 SE イントラネット ネ 1000~ EE BtoC 100万 サービス会社 ※EE=Enterprise Edition, SE=Standard Edition 63 2010/1/29 十数万 Copyright © 2009-2010 HP corporate presentation. All rights reserved. 導入実績 シェアについて ver.8.0 R3までに4000万超ユーザライセンスを販売。 3つの市場調査において業界市場シェアNO.1に輝くシングルサインオンソリューションです。 富士キメラ総研 「2009ネットワークセキュリティビジネス調査 ネッ ク キ リティ ジネ 調査 総覧」 シングルサインオン 市場シェア 2008年(実 績) 35.6% Webシングルサインオンパッケージ 2007年、2008年の競合製品とのシェア比較図 HP IceWall SSO ミック経済研究所 「情報セキュリティソリューション市場の現状と 将来展望 内部統制型・情報漏えい防止型ソ リューション編 リュ ション編 2009」 Webシングルサインオンパッケージ 市場シェア 2008年(実績) 35.2% ITR 「ITR Market View:アイデンティティ管理/内 部統制市場2008」 2007年 2008年 Webシングルサインオンパッケージ市場シェアNO.1* * 出荷金額ベース 国内Webシングルサインオンパッケージ市場No1 SSO製品市場シェア 64 2010/1/29 32 8% 32.8% 日本HP 35 2%(出典 ミ ク経済研究所「情報セキ リティソリ 日本HP:35.2%(出典:ミック経済研究所「情報セキュリティソリューション市場 シ ン市場 の現状と将来展望 内部統制型・情報漏洩防止型ソリューション編 2009」 2009年6月刊) Copyright © 2009-2010 HP corporate presentation. All rights reserved. Google Appsに対応した統合認証+ID管理ソリューションの必要性 Appsに対応した統合認証+ID管理ソリュ ションの必要性 情報資産を守る必要性の高まりとIT環境の複雑化 今、コンプライアンスへの対応、内部統制、リスク管理実施の一環として、企業の重要な情報資産を内 プ 管 施 情 資産 外から守る必要があります。利便性の高いWebアプリケーションによって業務効率が向上する一方、 ア プリケーション数の増加によって、それぞれが異なっているセキュリティ強度や アクセス管理ポリシー設 計を統一することが困難になり、IT環境が複雑化する原因となっています。 統合認証ID管理基盤の必要性 この状況への対策として、認証やアクセス制御を統合・強化して管理することが この状況 の対策として 認証やアクセス制御を統合 強化して管理することが 重要とされ、企業におい 重要とされ 企業におい ては社内システムのID情報や認証基盤の統合化が進むと共に、統一ポリシーのもとで一括管理を行うた めにシングルサインオンや統合ID管理ソリューションの導入が進んでいます。 SaaSの利用ニーズの高まりとその課題 その一報で、経済環境の悪化にともない、ITシステム全体のコスト削減に向けてGoogle Appsをはじめと したSaaSの利用ニーズも高まりつつあります したSaaSの利用ニ ズも高まりつつあります。しかし、企業が新たにSaaSを利用する場合、社内システ しかし 企業が新たにSaaSを利用する場合 社内システ ムに加え、社外サービスであるSaaS用のID/パスワードを別に管理することが必要となり、そのために 管理負荷が増大し、セキュリティリスクへの対応が複雑になるという大きな課題を抱えていました。 65 2010/1/29 このような複雑なニーズに対応するソリューションを、 日本HP、エクスジェン、サイオスの3社が提供いたします。 Copyright © 2007-2009 HP corporate presentation. All rights reserved. ■全体概要 協業ソリュ ション全体概要図 協業ソリューション全体概要図 社内のID管理システムとGoogleAppsのIDの一元管理が行えます。さらに社内の各アプリケーションやGoogle Appsに対しシングルサインオンできます。 66 2010/1/29 Copyright © 2009-2010 HP corporate presentation. All rights reserved. ■各ソリューションの概要と主な役割 Exgen LDAP Manager ‐統合ID管理- 統合ID管理 Exgen LDAP Managerは、「プロビジョニング」「IDワークフロー」「ログ管理」「管理者メンテ」「セルフメンテ」の 機能を提供する統合Identity管理パッケージソフトウェアです。本連携では、IceWall用認証DBに対するユーザ 管理を含む企業内IDの統合管理機能を提供します。 LDAP Manager基本構成図 セルフメンテ ワ クフ IDワークフロー 管理者メンテ プロビジョニング Active Directory 標準プラグイン連携 利用者 ID利用申請 LDAP 管理者 Notes Domino 利用者 承認1 LDAP Managerマシン (Windows2003STD) Oracle DB UNIX/Linux 承認2 ログ 利用者 2010/1/29 LDAPM Agent Windows 2003 ログ管理 LDAPM Agent LDAPマシン (HP-UX) 67 Agent連携 Copyright © 2007-2009 HP corporate presentation. All rights reserved. CSV連携 その他 業務アプリなど ■各ソリューションの概要と主な役割 SIOS Google Apps用シングルサインオンシステム・アカウント連携システム ‐Google Google Apps連携 Apps連携- SIOSはお客様の既存の情報システムとGoogle Appsを連携させるサービス を提供しています。統合ID管理 からのユーザ管理情報と連携し、Google Appsに対するユーザ管理の実施」本連携では、「統合認証からのシ ングルサインオンと連携しGoogle ングルサインオンと連携し g Appsにログイン」「を提供します。 pp に グイン」 を提供します。 SIOS 連携イメージ図 ユーザ ユ ザ Webアプリ シングルサインオン HP IceWall SSO Webアプリ ユーザ Google Apps用 SIOS シングルサインオンシステム ユーザ IceWall 認証DB Google Apps Exgen LDAP Manager Google Apps用 SIOS アカウント連携システム AD メタDB タ LDAP 68 2010/1/29 Copyright © 2009-2010 HP corporate presentation. All rights reserved. 統合ID管理 ■本ソリュ ション導入のメリット ■本ソリューション導入のメリット 本ソリューション連携のメリットを以下に記載します。 ■システム利用ユーザ ・管理するID、パスワードは1つだけとなります。 ・GmailをはじめとしたGoogle AppsサービスにログインするためにID、パスワードを入 力する必要がありません。 ■システム管理者 ・社内システムにおけるユーザ管理(追加・変更・削除)がシームレスにGoogle Appsと 連携されるた 連携されるため、運用負荷が大幅に軽減します。 負荷が大幅 軽減 ます ・認証基盤によりセキュリティが強化されます。 ・ 追加のソリューション連携(他のソリューションとの追加連携やHP IceWall SSOの Macアドレス認証オプションの導入など)、今後も追加されるSaaSサービスへの連携 など、拡張性の高いシステムとなります。 69 2010/1/29 Copyright © 2009-2010 HP corporate presentation. All rights reserved. まとめ • 70 HPは、自社のIT Security対策の方針を Security対策の方針をベース ス としたフレームワークを利用し、HPソリューショ ン及びアライアンスパートナーと連携したソ リューションを、企業のITインフラ環境の全体を 踏まえた視点で提案が可能です。 2010/1/29 Copyright © 2009-2010 HP corporate presentation. All rights reserved. 71 ©2010 UCFとは NANAROQ INC. 2010/1/29 © 2010 NANAROQ Inc. The information contained herein is subject to change without notice コンプライアンス対応における現状と課題(弊社認識) 様々な団体から多様な要求があるため、企業はそれに振り回され、不要な費用を支払っています。 コンプライアンス環境 企業や自治体にみられる状況 国、地方自治体、産業界等、 様々な団体から多数の法令へ の対応を要求される 各コンプライアンスごとに個別に 対応している (同じことをそれぞれの法令対 応で実施している) 事件発生等、事あるたびに法令 が更新されたり、新規施行され たりする 発令元が個別に行動しているた め、類似した要求が別の言葉で 述べられ、各法令に類似した要 求事項が散在している 不要な工数(コスト) が発生している 新規法令対応等の要求時、今 までの対応を有効に活用できな い © 2010 NANAROQ Inc. 2 コンプライアンス対応における改善余地 各法令の要求事項には重複があり、それを整理することにより必要最小限な対応でコンプライアンス を達成可能です。 最適化前 各法令に個別に対応するため、対応 必要な要求の数は莫大 JSOX ISO 要求事項の重複整理(イメージ) 言い回し等が異なるが、実は各法令で重複した要求が多数存 在 最適化後 要求事項は体系的に整理 全体の要求事項の数は大幅に削減 要求1 要求2 要求3 ・・・ 要求1 要求2 要求3 ・・・ JSOX ISO 要求1 要求2 要求1 要求2 要求3 要求3 要求4 個人情報保護 ・・・ 最適化された要求事項 IT戦略 要求1 要求2 要求3 要求4 監査・ リスク管理 要求A 要求B 要求C ・・・ 要求5 個人情報保護 要求5 要求6 要求6 要求1 要求2 要求3 ・・・ 要求4 要求5 要求6 運用監視 ・・・ 要求7 ・・・ © 2010 NANAROQ Inc. 3 UCF( (Unified Compliance Framework)のご紹介 )のご紹介 ○概要 • NANAROQ UCFは、世界中の法令・レギュレーションとIT統制をマップする世界で初めてのフレームワーク です。 • 各法令ごとにばらばらの要求事項を整理し、要求事項を最適化します。(最小化、階層化) • 最適化された要求事項に対する統制をひとつのエクセルシート(UCF)で管理することにより、お客様は1枚 のエクセルシートで全てのコンプライアンス業務への対応を実現可能です。 業界別規定 (PCIDSS等) 法令 (J-SOX/個人情報保護法等) 社外 最適化 コンプライアンス数:448 国際規格(ISO/TIL等) 証券取引所上場規定 IT統制 :2651 監査法人/QSA等 社内 UCF(エクセルシート) 業界ガイドライン リンク 経営陣/管理者層 官公庁ガイドライン (総務省/金融庁) システムコンフィギュレーション ガイドライン 詳細情報 ・・・ 内部監査人/スタッフ © 2010 NANAROQ Inc. 4 UCFの実現すること の実現すること NANAROQ UCFはお客様の法令対応を効率化し、コスト削減を実現します 社内のコンプライアンス文書における重複、 重複、 それによる矛盾を明確化できます それによる矛盾を明確化 複数の法令/規制等に対して、同時 同時 にコンプライアンスを主張できます にコンプライアンスを主張 ⇒不要な文書類の廃止 ⇒不要なレポート作成業務の 廃止(自動化*1) ×× ポリシーポリシーポリシーポリシー 業界別規定 (PCIDSS等) 整理 法令 (J-SOX等) コンプライアンス数: 448 国際規格(ISO/TIL等) 証券取引所上場規定 IT統制 :2651 業界ガイドライン 監査法人/QSA等 社内 UCF(エクセルシート) リンク 官公庁ガイドライン (総務省/金融庁) システムコンフィギュ レーションガイドライン 社外 経営陣/管理者層 詳細情報 ・・・ 内部監査人/スタッフ 500以上もある複雑な法令の要求事項に対して 一つのコントロールを定義できます 一つのコントロールを定義 コントロールに関する詳細や原文を容易に参 詳細や原文を容易に参 照可能です 照可能 ⇒管理すべきIT統制項目の削減 ⇒管理すべき 統制項目の削減 ⇒法令調査・分析業務の自動化 *1:GRCツールの活用による © 2010 NANAROQ Inc. 5 UCFによる重複把握の例 による重複把握の例 PCIDSSに新規対応する際、他の対応済みコンプライアンスがあれば、大幅に対応項目数を削減す ることができます。 PCIDSSへの対応イメージ PCIDSSに対応する際の検討項目削減事例 残検討 対応済コンプライアンス 個人情報US-SOX 項目数 Cobit ISMS 項目 削減率 - - - - 228 - ○ - - - 199 13% - ○ - - 173 24% - ○ ○ 172 25% - - - ○ 170 25% - ○ - ○ 141 38% - ○ ○ ○ 141 38% ISMS、個人情報保護、USSOX法を既に対応済みであれば PCIDSSと38%が重複。 他コンプライアンスにおける既検討事項の把握により、 PCIDSS対応時の検討項目を大幅に削減可能 © 2010 NANAROQ Inc. 6 (参考)UCFの考案者 の考案者 (参考) ◆UCFの考案者 Network Frontiers LLC (ITコンサルティングファーム)と Latham & Watkins LLP(世界的な法律事務所)が協働で フレームワークを開発 ◆2009年ガートナー リスクマネージメント&コンプライア ンス部門にてクールベンダーとしてノミネート ◆UCFサイト(US)へのリンク URL:http://www.unifiedcompliance.com/ © 2010 NANAROQ Inc. 7 (参考)UCFパートナー( パートナー(US)のご紹介 (参考) パートナー( )のご紹介 USにおいては、多数の企業がUCFを導入しています。また、UCFフレームワークを利用した製品や サービスが多々開発されています。 海外におけるUCF利用状況 © 2010 NANAROQ Inc. 8 (参考)UCFサービス提供体制 サービス提供体制 (参考) NANAROQはNetwork FrontierとパートナリングによりUCFサービスを提供していきます。 米国 NetworkFrontier 日本 NANAROQ US/International 法令対応 Japan 法令対応 品質管理 日本語化 © 2010 NANAROQ Inc. パートナー コンサルティング 9 コンプライアンス診断サービスとは • コンプライアンス診断サービスとは、 のフレームワークを活用し、コンプライアンス対 コンプライアンス診断サービスとは、UCFのフレームワークを活用し、 とは、 のフレームワークを活用し、コンプライアンス対 応において、重複している可能性のある事項を抽出するサービスです。 − 重複コントロールのリスト化 − 合計コントロールの数の提示 • 本サービスを利用することで、以下の利点があります。 − コスト削減の可能性がある領域の把握 − 新規コンプライアンス対応の際の重複事項の把握 • 対応コンプライアンスは以下の通りです。 − 対応済み及び対応予定のコンプライアンスを選択可能 • • • • • • • ISO 27001(ISMS) ISO 27002 個人情報保護法令 2003 − (次世代電子商取引推進協議会) 民間部門における電子商取引に係る個人情報の保護に関するガイ ドライン − (経済産業省) 個人情報保護ハンドブック 1998 PCI DSS v1.2 US-SOX法 Cobit 4.1 その他、約450の法令 © 2010 NANAROQ Inc. 10 お問い合わせ • WebSite: : − http://www.nanaroq.com • メール: − [email protected] • 電話: − 03-6804-6260 • 担当: − 板倉 © 2010 NANAROQ Inc. 11
© Copyright 2024 Paperzz
