企業の情報をいかに安全に管理していくかは内部統制を進める上で重要になる。特にグローバル展開する大企業においては、グループ子会社やパートナー企業を多く抱えているため、情報管理の善しあしが企業の競争力に跳ね返る。
内部統制環境を整備するにあたり、ITの果たす役割の大きさについて、改めて多くを語るまでもあるまい。米国のトレッドウェイ委員会組織委員会が公表した内部統制のフレームワークである「COSOフレームワーク」によると、内部統制は「業務の効率性」と「財務諸表の信頼性」を確保するとともに、「関連法規」の順守を目的に遂行される一連のプロセスと定義される。そして、それらのプロセスを実現するためには膨大な情報の収集・管理が求められ、そのためにITが不可欠というのが実情だ。
だが、「情報の管理性の観点から考えれば、従来製品には課題も少なくない」と語るのは、理経 セキュリティソリューション部の花野井順治部長。実際に、コンテンツフィルタリングゲートウェイなどの製品では、オフラインのPC上の情報の制御は難しく、情報の管理徹底は困難。また、USBメモリやネットワークポートを無効化するデバイス制御型の製品の場合には、リスクに応じたきめ細かな情報の制御が難しく、リスクのない情報の持ち出しまで阻害されることで業務効率が低下してしまう事態に見舞われるケースも少なくない。
これらを踏まえ、6月27日に開催された経営者向けセミナー「第5回 ITmedia エグゼクティブ セミナー」では、花野井氏が理想とする情報管理のあり方と、その実現に向け製品に求められる機能について講演を実施。それによると、セキュリティ対策の鍵は「エンドポイントセキュリティ」にありそうだ。
企業のIT機器、インフラの進化といった技術的な進展に加え、企業のグローバル化や在宅勤務制度の普及などを背景に、今や社内外のあらゆる場所から社員が社内ネットワークにアクセスし、業務を遂行するようになっている。また、業務委託先からの社内ネットワークへのアクセスも増加の一途をたどっている。このように、ITの利用形態が多様化しつつある中で、企業が情報を厳格に管理するためには、次の4つの条件をすべて満たすことが必要だと花野井氏は考える。具体的には(1)正当なアクセス権限のあるユーザーがどのようにファイルにアクセスしているのかを記録でき、それらを時系列で追跡できること、(2)流出リスクにつながる行為が発生した際には、そのことを社員に知らせたり、作業を強制的に中断ができること、(3)社内で情報漏えいリスクの高い行為がどの程度の頻度で、かつ、どこで発生しているのかを容易に示すことができること、(4)リスクの高い情報が社内にどれほど分布しているのかを表示できること、だ。
これらの条件をすべて満たした製品として花野井氏が紹介したのが、Verdasys社が開発した「Digital Guardian」だ。その特徴は、PCに対する検疫機能と、社内情報へのアクセス制限機能により実現した、エンドポイントセキュリティに基づく豊富な情報保護機能である。
実際に、同製品ではエージェントをPCにインストールするとともに、サーバ側でセキュリティポリシーを設定することで、情報へのアクセス履歴を自動的に収集・管理することが可能。また、ポリシーに違反しそうなPCの操作が行われた場合には、そのことをPC上にポップアップ表示し社員に通知できる。さらに、エージェントによって収集されたアラートの推移をグラフで時間軸に沿って確認したり、場合によってはドリルダウン表示でアラートの原因となった社員を特定したりする機能を備えているほか、各PC内にセキュリティリスクに直結するファイルがどれだけ存在するかといった情報も収集できる。
「エージェントが収集した情報を基に、どのような“ポリシー”や“ルール”、“コンテンツパターン”に該当するファイルが、どのPCに何件あるのかまで把握できる。これほど高度な分析機能を標準で備えているのも、Digital Guardianの大きな強みにほかならない」
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授