セッション資料ダウンロード - EnterpriseZine(エンタープライズジン)

変化するITコンプライアンス対応
への統合管理セキュリティフレ
への統合管理セキュリティフレー
ムワーク
2010年2月3日
日本ヒューレット・パッカード株式会社
テクノロジーサービス事業統括
テクノロジーコンサルティング統括本部 セキュリティソリューション本部
榎本 司
1
©2010©2010
企業を取り巻くチャレンジ
2
セキュリティ脅威
管理
•トロイの木馬, ウィルス、
ワーム、ハッカー、フィッ
シング、スパイウェア
•従業員のミス/誤使用
従業
使
•DoS攻撃
•Fraud
•
•
•
•
•
•
新たなテクノロジー
法規制とコンプライアンス
• ワイヤレス
• モバイル環境
• インスタントメッセー
ジ グ
ジング
• VOIP
• ウェブサービス
• クラウド、XaaS
クラウド X S
• Sarbanes Oxley,
Basel II, BS7799,
ISO 27001,PCI DSS
• ステークホルダから
のプレッシャー
• 新たな法規制
©2010
パッチ
インシデント
マルチパスワード
アクセス
ユーザ管理
サポートコスト/複雑
性
ビジネスへの潜在的な影響
生産性
収益
(影響を受けた従業員数
x 時間) + (作業付加が
生じた時間+ 復旧まで
の時間)
ダイレクトロス, ビリング
ダイレクトロス
ロス, 保証金の支払い
将来的な収益への影響,
投資損益
その他の経費
見えないコスト
派遣社員, レンタル機器,
派遣社員
レンタル機器
残業代, 輸送費の追加,
出張費
顧客損失、販売機会損
顧客損失
販売機会損
失、対応のための人的
リソース
財務パフォーマンス
企業イメージのダメージ
キャッシュフロー,
キ
シ
支払
い保証, ロストディスカ
ウント (A/P), 財務格付
け 株価 ペナルティ
け、株価,
ペナルティー
顧客, サプライヤ,
顧客
プ
株式
市場, ビジネスパート
ナー, 取引銀行, 法廷・
内部訴訟
3
©2010
CIOに求められるバランス
リスク管理の重要性
リターンの最大化:
リタ
ンの最大化
俊敏性の向上:
• ビジネス成果を改善する:収益や
• 業務部門やそのオペレーションを、変
キャッシュフローの成長、オペレー
ションコストの低減
リスクの管理:
パフォーマンス改善:
• 外部のリスクファクターへの露出を
外部のリスクファクタ への露出を
• 企業全体にまたがるエンド
企業全体にまたがるエンド・ツー・エン
ツ エン
最小化し、内部的な業務オペレー
ションのセキュリティや継続性の保
証
4
©2010
化するビジネスニーズに対応できるよ
うにする
ドの業務オペレーションのパフォーマ
ンス改善
• 顧客や従業員の満足度向上
ITインフラの変化
ホスティング
アウトソーシング事業者
エンタープライズ・クラス
ソフトウェア
IT部門
サービス・ポートフォリオの提供
事業部
社外
サービス
専有インフラストラクチャ
S
エンタープライズ・クラス
ソフトウェア
専有
共有
社内
サービス
インフラストラクチャ
インフラストラクチャ
S
クラウド・サービス事業者
グローバル・クラス
ソフトウェア
共有インフラストラクチャ
5
©2010
S
クラウド
サービス
事業の成果
ITセキュリティ投資の意義
 ITシステムを攻撃から守るための予防措置
 法令遵守、説明責任、リスクマネジメント
 業務・ビジネスを迅速に遂行するためのバックボーン
ITセキュリティにおける戦略的視点
法令遵守
法令遵守、説明責任
説明責任
•リアクティブからプロアクティブ
リアクティブからプロアクティブ
 業務・ビジネスの迅速な遂行を実現するバックボーン
•製品指向からプロセス指向
•セキュリティ
セキュリティ as
as-a-ITサービス
a ITサ ビス
6
©2010
ITインフラの変化伴う、ITセキュリティインフ
ラストラクチャ変革の必要性
ク
変革 必要性
サ ビスB
サービスB
ネットワーク
ネットワーク
サーバー
サーバー
ストレージ
ストレ
ジ
ストレージ
ストレ
ジ
ITセキ リティインフラ
ITセキュリティインフラ
データベース
ネットワーク
信頼性・管理性・俊敏性
OS
に優れたIT
に優れた
ITインフラ
インフラ
サーバー
一貫性と計画性のある
セキュリティガバナンス
データベース
アプリケーション
セキュリティインシデン
トト情報の統合合
ト
データベース
アプリケーション
アアクセス管理の統合
ア
ID&
バ
アプリケーション
サ ビスA サービスB
サービスA
サ ビスB
ン
アプリケーション
ュ
ュ
サ ビスA
サービスA
ストレージ
セキュリティがビジネスのボトルネック
•統一化されてないセキュリティ運用プロセス
•複雑で全体が見えない
セキュリティがビジネス・イネイブラー
•全体最適指向
•セキュリティ運用プロセスのシンプル化・標準化
•セキュリティ運用プロセスのシンプル化
標準化
•セキュリティ人材不足での限界
•維持、運用管理コストを抑制
•維持管理・コストの増大
•セキュリティリスクの統合管理
•不十分なセキュリティ対策によるリスク
分な キ
策
ビジネ プ セ
プリケ シ
•ビジネスプロセス、アプリケーションの
信頼性・可用性を保証
•ITの俊敏性の低下
7
©2010
•ITの俊敏性を向上
HPセキュリティ・フレームワーク
ビジネス目標
リスク・マネジメント
コンプライアンス
セキュリティ・プランニング&ガバナンス
アイデンティティ
&アクセス・マネジメント
プロアクティブ・
プロアクティブ・
セキュリティ・マネジメント
セキュリティ・マネジメント
トラステッド・インフラストラクチャ
8
©2010
HPセキュリティ・フレームワーク
ビジネス目標
リスク・マネジメント
コンプライアンス
2 ITセキュリティ
2.
管理プロセスの最適化
セキュリティ・プランニング&ガバナンス
1
アイデンティティ
&アクセス・マネジメント
2
4
3
プロアクティブ・
プロアクティブ・
セキュリティ・マネジメント
セキュリティ・マネジメント
トラステッド・インフラストラクチャ
9
©2010
1 ITセキュリティの
1.
ガバナンス構造設計
2
3. ビルトイン・セキュリティ開
ビ トイ セキ リ
開
発とシンプル化・標準化
の推進
4. ITセキュリティプロセスの
自動化・統合化
コンプライアンス統合管理
フレームワーク
by UCF of NANAROQ
(ナナロク)
10
©2010
-コンプライアンス対応における現状と課題(弊社認識)
様々な団体から多様な要求があるため、企業はそれに振り回され、不要な費用を支払っています
コンプライアンス環境
企業や自治体にみられる状況
国、地方自治体、産業界等、
様々な団体から多数の法令へ
の対応を要求される
各コンプライアンスごとに個別に
対応している
(同じことをそれぞれの法令対
応で実施している)
事件発生等、事あるたびに法令
事件発生等
事あるたびに法令
が更新されたり、新規施行され
たりする
発令元が個別に行動しているた
め、類似した要求が別の言葉で
述べられ、各法令に類似した要
各
求事項が散在している
11
不要な工数(コスト)
が発生している
新規法令対応等の要求時、今
新規法令対応等の要求時
今
までの対応を有効に活用できな
い
©2010
© 2010 NANAROQ Inc.
コンプライアンス対応における改善余地
各法令の要求事項には重複があり、それを整理することにより必要最小限な対応でコンプライアンス
を達成可能です。
最適化前
適 前
各法令に個別に対応するため、対応
必要な要求の数は莫大
JSOX
ISO
要求事項の重複整理(イメージ)
事
複整
ジ
言い回し等が異なるが、実は各法令で重複した要求が多数存
在
最適化後
適 後
要求事項は体系的に整理
全体の要求事項の数は大幅に削減
要求1
要求2
要求3
・・・
要求1
要求2
要求3
・・・
JSOX
ISO
要求1
要求2
要求1
要求2
要求3
要求3
要求4
個人情報保護
・・・
最適化された要求事項
IT戦略
要求1
要求2
要求3
要求4
監査・
リスク管理
要求5
個人情報保護
要求
要求5
要求6
要求6
要求
要求
要求1
要求2
要求3
・・・
・・・
12
©2010
© 2010 NANAROQ Inc.
要求4
要求5
要求
要求6
運用監視
・・・
要求7
要求A
要求B
要求C
・・・
UCF(Unified Compliance Framework)のご紹介
○概要
• NANAROQ UCFは、世界中の法令
UCFは 世界中の法令・レギュレーションとIT統制をマップする世界で初めてのフレームワーク
レギュレ ションとIT統制をマップする世界で初めてのフレ ムワ ク
です。
• 各法令ごとにばらばらの要求事項を整理し、要求事項を最適化します。(最小化、階層化)
• 最適化された要求事項に対する統制をひとつのエクセルシート(UCF)で管理することにより、お客様は1枚
のエクセルシ トで全てのコンプライアンス業務への対応を実現可能です。
のエクセルシートで全てのコンプライアンス業務への対応を実現可能です
業界別規定
(PCIDSS等)
法令
(J-SOX/個人情報保護法等)
社外
最適化
コンプライアンス数:448
国際規格(ISO/TIL等)
証券取引所上場規定
IT統制
:2651
監査法人/QSA等
社内
UCF(エクセルシート)
業界ガイドライン
リンク
経営陣/管理者層
官公庁ガイドライン
(総務省/金融庁)
システムコンフィギュレーション
ガイド イ
ガイドライン
詳細情報
・・・
13
内部監査人/スタッフ
©2010
© 2010 NANAROQ Inc.
UCFの実現すること
NANAROQ UCFはお客様の法令対応を効率化し、コスト削減を実現します
社内のコンプライアンス文書における重複、
それによる矛盾を明確化できます
複数の法令/規制等に対して、同時
にコンプライアンスを主張できます
⇒不要な文書類の廃止
⇒不要なレポート作成業務の
廃止(自動化*1)
××
ポリシーポリシーポリシーポリシー
業界別規定
(PCIDSS等)
整理
法令
(J-SOX等)
コンプライアンス数:
プ
448
国際規格(ISO/TIL等)
証券取引所上場規定
IT統制
:2651
業界ガイドライン
UCF(エクセルシート)
リンク
経営陣/管理者層
詳細情報
・・・
14
監査法人/QSA等
社内
官公庁ガイドライン
(総務省/金融庁)
システムコンフィギュ
レーションガイドライン
ガイド イ
社外
内部監査人/スタッフ
500以上もある複雑な法令の要求事項に対して
一つのコントロールを定義できます
コントロールに関する詳細や原文を容易に参
照可能です
⇒管理すべきIT統制項目の削減
©2010
⇒法令調査・分析業務の自動化
*1:GRCツールの活用による
© 2010 NANAROQ Inc.
14
-UCFによる重複把握の例
PCIDSSに新規対応する際、他の対応済みコンプライアンスがあれば、大幅に対応項目数を削減す
ることができます。
PCIDSSへの対応イメージ
PCIDSSに対応する際の検討項目削減事例
残検討
対応済コンプライアンス
Cobit
ISMS
個人情報US-SOX 項目数
項目
削減率
-
-
-
-
228
-
○
-
-
-
199
13%
-
○
-
-
173
24%
-
○
○
172
25%
-
-
-
○
170
25%
-
○
-
○
141
38%
-
○
○
○
141
38%
ISMS、個人情報保護、USSOX法を既に対応済みであれば
PCIDSSと38%が重複。
他コンプライアンスにおける既検討事項の把握により、
PCIDSS対応時の検討項目を大幅に削減可能
15
©2010
© 2010 NANAROQ Inc.
(参考)UCFの考案者
◆UCFの考案者
Network Frontiers LLC (ITコンサルティングファーム)と
Latham & Watkins LLP(世界的な法律事務所)が協働で
フレームワークを開発
ワ クを開発
◆2009年ガートナー リスクマネージメント&コンプライア
ンス部門にてクールベンダーとしてノミネート
◆UCFサイト(US)へのリンク
URL:http://www.unifiedcompliance.com/
16
©2010
© 2010 NANAROQ Inc.
(参考)UCFパートナー(US)のご紹介
USにおいては、多数の企業がUCFを導入しています。また、UCFフレームワークを利用した製品や
サービスが多々開発されています。
海外におけるUCF利用状況
17
©2010
© 2010 NANAROQ Inc.
17
(参考)UCFサービス提供体制
NANAROQはNetworkFrontierとパートナリングによりUCFサービスを提供していきます。
US
NetworkFrontier
18
Japan
NANAROQ
US/International
法令対応
Japan
法令対応
品質管理
日本語化
©2010
© 2010 NANAROQ Inc.
パートナー
コンサルティング
-コンプライアンス診断サービスとは
– コンプライアンス診断サービスとは、UCFのフレームワークを活用し、コンプライアンス対応において、
重複している可能性のある事項を抽出するサービスです。
•
重複コントロールのリスト化
•
合計コントロールの数の提示
– 本サービスを利用することで、以下の利点があります。
•
コスト削減の可能性がある領域の把握
•
新規コンプライアンス対応の際の重複事項の把握
– 対応コンプライアンスは以下の通りです。
•
対応済 及び対応予定
対応済み及び対応予定のコンプライアンスを選択可能
プ イ
を選択 能
− ISO 27001(ISMS)
− ISO 27002
− 個人情報保護法令 2003
•
(次世代電子商取引推進協議会) 民間部門における電子商取引に係る個人情報の保護
に関するガイドライン
•
(経済産業省) 個人情報保護ハンドブック 1998
− PCI DSS v1.2
− J-SOX
− Cobit 4
4.1
1
19
©2010
− BCI
その他 約450の法令
© 2010 NANAROQ Inc.
HPでの取り組み
20
©2010
HP社のEAプログラム
6レイヤー構成(階層性)
Enterprise Architecture Program
ビジネス主導
活動は毎週報告される進捗管理票:
活動は毎週報告される進捗管理票
Plan of Record (POR)で管理
原則:Principleをベースに展開
各レイヤーを約200のドメインに分けて管理
成果物と評価基準が定義されている
21
©2010
HP社の例
社 例
HP社のITセキュリティ(1)
( )
ITガバナンスとの関係
HP社のITセキュリティとガバナンス
セキ リテ とガバナンス
 ITガバナンスとEA (Enterprise
Architecture)が一体化しており、
セキ リテ は共通のIT原則とし 定義
セキュリティは共通のIT原則として定義
 対応組織は、EAのドメイン毎に定義

担当組織は、関連するポリシー・スタン
ダードやアーキテクチャについて
他のドメインとの調整を実施
HP社の例
社 例
セキュリティに必要な
ITガバナンスの明確化
対象の明確化

レベルの明確化



組織がEAのドメインに対応しているのは、
組織がEAのドメインに対応しているのは
従来型の組織構成では、機能のオーバラップ
や複数の標準の発生が懸念されるためと、
ホワイト・スペース(空白部)の発生を防ぐため
HPにおけるIT利用のすべて
(ヒト、HW、SW、プロセス)
全社で標準化
強い強制力
ライフサイクル全般での定義
ライ サイク 全般 の定義

企画・開発・運用・モニタリングの
全フェーズでの統制の実施
内部監査の実施

22
©2010
独立的な内部監査組織による
一貫した監査の実施(Boardに報告)
HP社のITセキュリティ(2)
( )
ITアーキテクチャとの関係
HP社のITセキュリティと
セキ リテ とEA
 EA (Enterprise Architecture)の
中でCore Infrastructureの重要ド
メインとして定義され、各種のセ
と
定義され 各種
キュリティ・アーキテクチャを定義
 全社で標準化されたITアーキテク
チャがセキュリティ対策に重要な
が
策
貢献をしている
(統一されたPC環境、シンプルな
IDおよびアクセス管理方式)
セキュリティに必要な
ITアーキテクチャの明確化
重要な全社標準のインフラとして定義



©2010
ID・パスワードの最小化(~3)、
ヒトとモノの管理の徹底
(Enterprise Directoryと構成管理DB)
ア
アーキテクチャに基づく
キテクチャに基づく、中長期的な視点
中長期的な視点
でのセキュリティ対策(サービス)の実施

23
利用者~IT~データの関係を
ライフサイクルを通じて定義
セキュリティ・インフラは共通インフラとして、
すべてのアプリケーションが利用
標準性を追求したシンプルなモデル
 担当部署は、アーキテクチャ定義
に従い、各種セキュリティ・サービ
スを
提供
HP社の例
社 例
必要セキュリティ機能のEAへの取り込み
HP社のITセキュリティ(3)
( )
セキュリティ・サービスとしての提供
HP社のITセキュリティ・サービス
セキ リテ サ ビ
セキュリティに必要な
 セキュリティは“サービス”として提供
ITサービスの提供
されており、標準+オプションのサー
ビ と
ビスとしてビジネス・マネジメントされ
ビジネ
ネジ
され
ている(品質・コスト・納期と品揃えを
評価)
サ
サービス・カタログ化による、
カタ グ化による、
 セキュリティの管理対象とその管理プ
管
象
管 プ
ロセス(インシデント、変更、構成管理
等)が明確に定義されており、サービ
ス管理(ITILベ ス)が行われている
ス管理(ITILベース)が行われている
 より良いサービスを提供することが、
ITセキュリティの向上へとつながって
いる
コストと必要レベルの選択


把握


サービス毎に有効性を把握・評価
各種改善活動へ展開
プロアクティブな
セキュリティ・サービスの提供

©2010
セキュリティ・サービスをカタログ化し、
コストとレベルを提示
“サービス”としてビジネス管理
サービス・モニタリングによる有効性の

24
HP社の例
社 例
新サービスの積極的な投入
旧技術のリタイアメント促進
旧技術
リタイア ン 促進
参考:セキュリティ・サービスの例
Business Strategy
gy
ID、認証、認可
セキュリティ・ポリシー、
IDプロビジョニング管理
ディレクトリ、メタ・ディレクトリ Business Processes
Business
アクセス管理
PKI
ERP
CollaborC
ll b
ation
…
Productivity
Demand
SSO
ストラテジー策定
リスク、脅威・脆弱性
アセスメント
セキュリティ・トレーニング
CRM
Application Services
スマート・カード利用
Level
リモート・アクセス
services
services
services
インフラストラクチャ・セキュリ
Level
Virtualized resources
Virtualization
ティ
R
Resource
Sourcing
Sharing
Pooling
物理的資産保護
Level
ネットワーク・セキュリティ
Resources
インターネット・セキュリティ
Environシステム・ハードニング
Clients Printers Servers Storage Network Content
ment
セキュアー・プリンティング
セキュアー・メール
Manage
アプリケーション・スキャンニン
Infrastructure
& control
グ
Integrate & Orchestrate
セキュア
セキュアー・ストレージ
・ストレ ジ
媒体管理
plan, design, deploy, manage, evolve
暗号化・・・
25
©2010
Maintain
services
…
Monitor
Grid
Control
Web
Inventory
Security
Provision
Registry
Plan
コンテンツ認証..
個別アプリケーション・
Service
Infrastructure services
クライアント認証
セキュリティ
セキ
リ
コンプライアンス、
レギュレーション対応
証跡保存
職務分掌
プライバシー対応
セキュリティ・ポリシー管理
セキュリティ・イベント収集
セキ リテ イベント収集
セキュリティ・インシデント管
理
インシデント・レスポンス管理
理想とするITセキュリティの未来像は…
HP社の事例
社 事例
ビジネスと ITセキュリティは、
密接に結び付き 共生関係にある
密接に結び付き、共生関係にある
– ビジネスの方針がセキュリティの変化に制約を受けずにすむ
(俊敏性の高いエンタープライズ)
俊敏性 高
タ プ イズ
– 新しいテクノロジーが導入されるたびにセキュリティインフラを設計し直す
必要がない
–
(テクノロジーの統合)
– 法規制に対応するために多くの時間と労力を費やす必要がない
規制
応す
多く 時
労 を費 す
がな
– (継続的なコンプライアンス)
– 新しい脅威を心配する必要がない – セキュリティインフラが自動的に予知し、
対応してくれる
–
26
(アダプティブな防御)
ダプ
ブ
©2010
HPセキュリティマップ
27
©2010
セキュリティ・ソリューション・マップ
(技術カテゴリ)
技術カ ゴ
Network
Server
Client
OS
Application
アイデンティ
ティ
ア
& クセス
・マネジメント
認証ネットワーク
アクセス制御(認可)
Clientアクセス制御
アイデンティティ管
理
OSアクセス制御
Webアクセス制御
アイデンティティ管理
ディレクトリ
プロアクティブ
・セキュリティ
・マネジメント
変更・構成管理
Network構成管理
Client構成管理
イベント・インシデ
ント
管理
Network監査
Client監査
イベント・インシデント統合管理
Server監査
DB監査
各システムのイベント機能
統合ログ管理
各システムのログ機能
アーカイブ
メールアーカイブ
脆弱性管理
トラステッド・
インフラストラクチャ
情報漏洩対策
暗号化
改ざん検知
検知
28
©2010
Storage構成管理
Server構成管理
統合ログ管理
検疫・ウィルス対
策・
ワ ム対策
ワーム対策
Tap
e
高強度の認証
PKI
認証
ファイウォール・
侵入検知・防御
Storag
e
DB
ファイアウォール、IDS・IPS
ゲートウェイ型
ウィルス対策
ウィ
対策
デスクトップ・ファイアウォール
Webアプリ検査
OSハーデニング
WAF
ウィルス対策
検疫ネットワーク
ゲートウェイ型情報漏洩対策
ホスト型検査
持ち出し制御
DLP
VPN、SSL、S-MIME
DB暗号化
暗号化
改ざん検知
Storage/Tape
暗号化
セキュリティ・ソリューション・マップ
(製品/ ンサルティング サ ビス)
(製品/コンサルティング・サービス)
Network
アイデンティ
ティ
ア
& クセス
・マネジメント
認証
アクセス制御(認可)
Server
Client
OS
HP Quarantine System、
HP Procurve、
Ci
Cisco、Aruba
A b
ベリサインマネージドPKI、Entrust PKI
HP CCI
CCI、秘文、、
秘文
Digital Guardian、Citrix
HP UX11i
HP-UX11i、
PowerBroker
Red Hat Directory Server for HP-UX、Active Directory
HP Universal CMDB
プロアクティブ
・セキュリティ
・マネジメント
HP Network Automation software HP Client Automation software
ESS REC
Remote Access Auditor
IPLocks
各システムのイベント
HP Compliance Log Warehaouse、SenSgae
各システムのログ
アーカイブ
HP IAP、Enterprise Vault
脆弱性管理
トラステッド・
インフラストラクチャ
検疫・ウィルス対
策・
ワーム対策
HP Storage
Essentials
software
HP Server Automation software
HP software製品群
MSIESER
統合ログ管理
ファイウォール・
侵 検知 防御
侵入検知・防御
HP IceWall SSO
Oracle Identy Manage、Exgen LDAPManager、MS ILM、IceWall Identity Manager、INTEC 結人束人
構成管理
イベント・インシデ
ント
管理
DB
Cisco、Fortinet、Juniper、
p
Nokia、Radware
Fortinet
Symantec ESM
HP WebInspect
HP UX11i
HP-UX11i
HP IceWall MCRP
Symantec Endpoint Protection
HP Quarantine
System
Symantec Endpoint Protection、Trendmicro、
MS Forefront Client Security
MS Forefront Security
情報漏洩対策
Symantec DLP
HP Protect Tools、HP CCI、秘文、
、 Digital Guardian、Citrix、Symante Vontsu
Symantec DLP
暗号化
Cisco、F5、Fortinet
秘文、、
Digital Guardian
Oracle
Advanced
Security
改ざん検知
セキュリティ
・プランニング
ガ
& バナンス
アセスメント・ポリ
シー
・アドバイザリー
アイデンティティ
&アクセス管理
2929 ©20102009/4/17
統合ログ管理
Tap
e
HP Protect Tools、UBF、SyncLock
アイデンティティ管
理
変更自動化
Application
Storag
e
HP SKM
Tripwire
セキュリティ・アセスメント コンサルティング、セキュリティ・ポリシー体系策定支援 コンサルティング、セキュリティ・アドバイザリー コンサルティング
アイデンティティ&アクセス・マネジメント アーキテクチャ・コンサルティング
Copyright © 2009 HP corporate presentation. All rights reserved.
統合ログ管理 コンサルティング
監査時に求められる統合
ログ管理のポイント
30
©2010
監査時に、なぜログを残しておくんですか???
とにかく、
ログの収集は
必須
ログがなければ、評価できない
 処理が正常に終わっているのか
 不正なアクセスがないのか
が
 適切な管理者作業が
行なわれたのか
31
©2010
とりあえず、
ログはしばらく
取っておくこと
長期保管されていないと
監査に利用できない
監査は週次で実施するものではない
 週次ローテーションでは×
内部統制における4つの統制評価とその評価
順序
手順①
全社統制
(IT全社統制を含む)
全社統制に依拠
手順②
IT全般統制
(ITGC)
依拠する統制を先行し
て評価し、その評価結
評価し そ 評価結
果が良好であれば
全社統制に依拠 続く被監査対象に対す
る監査手続を緩めるこ
とが可能になる。
ITGCに依拠
例:
ITGCにおける業務システムへの
アクセス権管理が適切
↓
ITACで業務システム上の承認機能が適
切に機能していることを画面で確認
機能
を
確
↓
業務処理統制では承認による統制は、継
続的に機能しているとして
件数を減ら
件数を減らして評価することが可能
評価する とが 能
32
©2010
手順③
IT業務処理統制
(ITAC)
ITACに依拠
自動化済み
統制
手順④
手動の統制
業務処理統制
内部統制における対象範囲の考え方(例)
( )
業務処理統制
IT業務処理統制
財務報告に係る業務の抽出
IT利用
手作業
財務報告に係る業務で使われるIT
入力規制 出力(印刷) 計算処理 データI/F マスタ修正 …
ユーザID
ユ
ザID
IT全般統制
変更・リリース管理
変更
リリ ス管理
Job管理
DB管理
システムアカウント管理
※ 特に、特権ユ
特に 特権ユーザは上記のIT全般統制を破壊しうる力を持つ
ザは上記のIT全般統制を破壊しうる力を持つ
OS管理
ネットワーク管理
セキュリティ管理
スプレッドシート
スプレッドシ
ト
統制
財務報告に係る業務で使われるITを支えるインフラ
33
©2010
ログ
管理
内部統制における統合ログ管理の意義
ログの統合管理による統制の強化
アクセスログ・モニタリングの一元化
ユ
ユーザIDの統合が前提
ザIDの統合が前提
問題発生時の横断的な調査
スプレッドシート統制の強化
内部統制の観点から見た2種類のログ
IT業務処理統制のログ
いわゆる“アプリケーション・ログ”
IT全般統制のログ
OS、MW、NW…
34
©2010
のログなど
統合ログ管理の利用局面
特権ユーザ操作、データベース操作な
ど、データ改ざんの可能性に対する
十分な配慮と対応が求められる
オペレ ション管理の重要性
オペレーション管理の重要性

・・・
データ改ざんにつながるオペレーショ
ンや設定について厳重な管理が必
要
ログ取得(保管)
だけではダメ!
 特権を使わない
 複数人で作業する
 作業記録の第3者チェック
 操作ログの取得とモニタリン
グ
厳密なデータ修正管理が必要
鍵は、
“ログをどう使っているか”
35
©2010

データ改ざん防止のため、
デ
タ改ざん防止のため
データ修正の管理は極めて重要
 OS特権の管理以上に重要
 Proof
P f Listの出力が望ましい
Li tの出力が望ましい
モニタリングを行う
監査で求められる要件は・・・
モニタリング
 業務が適切に行われていること
してる?
業務プロセスの設計だけに
 抜け・漏れがないこと
注力していると、
これらは保証があることが望ましい。
“Check”の設計が欠落しがち
Check”の設計が欠落しがち
→ 発見統制※
モ タリング
モニタリング
監査人からは
モニタリングの
有無・内容について
繰り返し質問される
※ 問題が起こらないようにする統制 = 予防統制
問題が起こった後に対応する統制 = 発見統制
36
©2010
ただし、ログの取得・保管だけではダメ!
~ 対応例 ~
 運用実績(問合せ、障害、キャパシティ
運用実績(問合せ 障害 キャパシティ
など)の集計と抜け漏れの確認
 集計結果のレビューや運用改善の検
討 etc.
etc
IT内部統制システムの全体像
モニタリング視点
ユーザ
ザ
改善
日常業務
対応
応
IT部門の担当範囲
IT内部統制システム
日常的モニタリング(業務上の不正や誤謬の防止、監視)
改善
評
価
証跡
評価
日常的モニタリング
(自己点検・自己評価)
報告
評
評価
証跡
評
価
独立的評価(内部監査)
37
©2010
指示
報告
経営者
ソリューションのご紹介
統合ログ管理
38
©2010
統合ログ管理で広がる世界
業務の見える化
運用の効率化
就労時間の把握
業務のトレース
運用コスト削減
システム監視
運用者・管理者
操作履歴
セキュリティ
マネジメント
セキュリティ対応
39
©2010
ログマネージメント
セキュリティ
インシデント化
資産利用履歴
の把握
コンプライアンス
対応
ガバナンス
内部統制対応
部統制対
サービス利用履歴
の把握
資産・構成管理
ログ管理の現状と問題点
•
これまでのログの管理は、システム単位に実施される「サイロ型」で
これまでの
グの管理は、システム単位に実施される サイ 型」で
の実装でしたが、様々な問題点が指摘されています。
システムA
ミドルウェア
ミドルウェア
サーバ
収集ポリシ
管理者X
40
©2010
UI
検索
LOG
アプリケーション
LOG
アプリケーション
ログサーバ
運用(操作)ログ
運用(操作)
グ
の取得はできて
いるか?
シ テムB
システムB
サーバ
ログサーバ
収集ポリシ
UI
検索
・・・・・
ログ自身のセキュ
リティ対策(保護)
はできているか?
管理者Y
各システムのログ
が分散し 切分
が分散し、切分
け・分析が困難で
はないか?
収集・保管ポリシがバ
ラバラではないか?
ログ管理の標準化
各システムからログに関連する仕組みを切り離し、新たに統合ログ管理
各システムから
グに関連する仕組みを切り離し、新たに統合 グ管理
プラットフォームを構築・運用することで統合ログ管理を実現
システムA
アプリケーション
システムB
LOG
アプリケーション
ミドルウェア
ミドルウェア
サーバ
サーバ
統合ログ管理プラットフォーム
改ざん対策
統合ログ
管理システム 標準化された収集ポリシ
管理者
X
41
©2010
アクセスコントロール
統一化されたUI
管理者
Y
柔軟な検索
統合ログ管理ソリューションの対応範囲
•
運用管理システムや特定のログ管理ソリューションによる対応も存在
したが 対応範囲が限定的
したが、対応範囲が限定的
収集 監視 保管 保護 分析 監査
システムログカテゴリ
システム運用上 コンプライアンスや内部統制にて
求められる機能
求められる機能
(ERP CRM
(ERP,
CRM, Various App
App.))
Middleware Application
(DB, Email, Web/App Server, File Server, IAM etc.)
Security
(IDS/IPS, AntiVirus, SIM/SEM/EMS, Vulnerability Mgmt.)
Key Log
System
(ServerOS, Desktop, Mainframe)
Access log
Operation log
Network
(FW/VPN, Router/Switch, Traffic Mgmt., Remote Access)
42
©2010
運用
用管理シス
ステム
(一部未
未対応のも
ものあり)
Horizontal Application
File Svr.管理ソリューション
Key Log管理ソリューション
統合ログ管理
ソリューション
統合ログ管理基盤の実装例
•
弊社が数多く経験して る グ管理の実装イ
弊社が数多く経験しているログ管理の実装イメージは以下となります。
ジは以下となります。
データベース
Windows
操作ログ
NW機器/syslog
Event Log
各種アプリ
Text Log
Syslog
UNIX/Linux
DB監査
Text Log
操作ログ
CLW
ファイルサーバ
Compliance Log Warehouse
統合ログ管理
43
©2010
ファイルサーバ監査
統合ログ管理とは
拡張性
1
2
3
4
44
©2010
初期段階は、管理目的も絞られており、ス
初期段階は
管理目的も絞られており ス
モールスタートを実施することになることが大半です。しかし、一度導入すると長
期間利用することになり、様々なアプリ・インフラにおけるログを収集する必要が
継続的に発生します。一般的に、収集能力/検索スピードについては、スケール
アップよりスケールアウトの方が、拡張性に優れています。
プ
ウ
方が 拡 性 優れ
ます
柔軟性
ビジネス要件・セキュリティ要件・運用要件・
監査要件は常に変化します 当然ながら システムは変化への対応が求められ
監査要件は常に変化します。当然ながら、システムは変化への対応が求められ
ます。具体的には取り込むべきログの追加や、出力すべきアウトプットの変更が
発生しますが、その対応力(柔軟性)は初期段階で考慮すべきです。
証跡化
必要な情報を、導入済みのアプリ・ミドルウェ
ア・OSの標準ログ機能から取得できるとは限りません。分析すべき内容によっ
ては、個別にログを出力する仕組み(フロー)を用意する必要があります。
ては、個別に
グを出力する仕組み(フ
)を用意する必要があります。
分析力
統合管理されるログは、多面的な分析ができ
るポテンシャルを秘めています 例えば 入退室ログによる就労時間の把握や
るポテンシャルを秘めています。例えば、入退室ログによる就労時間の把握や、
印刷ログによるプリンタや座席配置への参考情報化などです。
ソフトウェア、OS、HWが一つにまとまった
HP COMPLIANCE LOG WAREHOUSE
セットアップの簡略化
統合ログ管理アプライアンス
(CLW)
・HP高信頼性プラットフォームをベースにした2U
高信頼性プ
をベ
アプライアンス
・RHEL上に、ログ管理ツールである SenSage
ESAをプリインストール
ESAをプリインスト
ル
・HP独自のツールにより、直感的なパラメータ設
定が可能なため、素早く簡単に初期起動・設定し、
ログ管理をスタートさせることが可能
HP Compliance Log
Warehouse
標準装備のサンプル類
・Compliance Analytics、Foundation Analytics
等のレポートサンプル(要カスタマイズ)
等のレポ
トサンプル(要カスタマイズ)
・SLSへのロード準備や正常ロード確認など、処
理の自動化を行うサンプルスクリプトをバンドル
HP高信頼性プラットフォーム
パフォーマンスの最適化
パフォ
マンスの最適化
高速ログ取り込み、高速検索が可能なアーキテ
クチャ
サポ トの統合
サポートの統合
HP
のサポート窓口によるサポート
45
©2010
+
HPのレスポンス
センタで保守対応
HP COMPLIANCE LOG WAREHOUSE
(CLW) とは
柔軟な
アウトプット
各種ログソース
からの出力
①
ログデータ
の取込
Collector
Log Adapter
②
リアルタイム
アラート
Real-time
Engine
Console
Report
Manager
Dashboard
CL
W
Compliance Log
Warehouse
Scalable
Log Server
メール等による
メ
ル等による
アラート
46
©2010
–
4
6
③
レポート・
ダッシュボード
高圧縮
・長期保管
⑤
Compliance
Analytics
Foundation
Analytics
標準テンプレート
分析・調査
④
CLWのコンポーネント
または機能
独自DB
統合ログ管理とは
•
HP CLWは
CLWは、統合ログ管理製品として、下記のようなメリットをお客様
統合ログ管理製品として 下記のようなメリットをお客様
へ提供し、様々な課題を解決致します。
複雑な環境・要件への柔軟性
・テキストであれば取込可
・アウトプット(レポートや
アウトプット(レポ トや
ダッシュボード)の柔軟性
既存環境への影響がない
・可能な限り標準的な転送
方式を採用(syslog-ng,
scp, sftp)
・パフォーマンス劣化等、考
慮不要
47
©2010
長期に利用可能な拡張性
・リニアに性能向上する
スケールアウト構成
スケ
ルアウト構成
・解凍不要な圧縮機能
・外部NASへの退避機能
アプライアンス
・ 導入が容易
・ セキュリティ強化
・ サポートの一元化
HP 統合ログ管理 CLWのまとめ
拡張性
1
2
3
48
©2010
初期段階は、管理目的も絞られており、ス
モールスタートになることが大半です。しかし、一度導入すると長期利用するこ
とになり、様々なアプリ・インフラにおけるログを収集する必要が継続的に発生
します CLWはスケールアウト構成により リニアに拡張することが可能です
します。CLWはスケールアウト構成により、リニアに拡張することが可能です。
また、高度な圧縮機能(解凍が不要)を持っていたり、スケジューリングにより
NASに退避したログも検索・レポート対象に常時含めることが可能です。
柔軟性
ビジネス要件・セキュリティ要件・運用要件・
監査要件は常に変化しますので、当然ながら、システム側でも変化への対応が
求められます 具体的には取り込むべきログの追加や 出力すべきアウトプット
求められます。具体的には取り込むべきログの追加や、出力すべきアウトプット
の変更が発生します。CLWは、その対応力が非常に柔軟です。また、複数行で
1イベントを表すログ形式でも、CLW側に取り込むことが可能です。
アプライアンス
ソフトウェアであるSenSageのプリインストー
ルがされたアプライアンスのご提供により、導入が容易になり、かつセキュリティ
強化実装も施されております ハードウェアからOS
強化実装も施されております。ハ
ドウェアからOS、ソフトウェアまでhpで
ソフトウェアまでhpで一元
元
的に保守・サポートすることが可能です。
統合ログ管理事例
統合ログ管理ソリューションによりクライアントセキュリティ製品に
おけるログも統合管理
グ
•
お客様の課題
ログ出力元
− J-SOXに対応する内部統制を実現する必要
− システム実装の一つとして統合ログ管理
− クライアントセキュリティソフトウェアの他、OS、
ファイルサーバなど多種多様なログが対象
ファイルサ
バなど多種多様なログが対象
− 対象は数十システム
クライアント
セキュリティ
Windows系
サーバ
ログの収集
S S
SenSage
Collector
− 長期のログ保管
•
HPのソリューション
− 統合ログ管理ソリューションとして
SenSageESAを採用
− コンサルティングからログ管理システムの構
築まで一貫して対応
− クライアントセキュリティソフトウェアから
SenSageESAにログを取り込み
g
49
©2010
ファイル
サーバ
ログの保管、分析
SenSage
Scalable
LogServer
SenSage
A l
Analyzer
レポーティング
Unix
ログは外部ストレー
ジに圧縮保管
順次追加予定
レポート
ソリューションのご紹介
SSOソリューション
HP IceWall SSO
50
©2010
はじめに
HP IceWall SSOは、日本HPが国内で開発し、製品として提供している
NO.1* Webシングルサインオンソリューション(Single Sign On=SSO)です。
HP IceWall SSOは、1997年の発売以来、日本国内においてイントラネットサービスや
BtoC、BtoBサービス等の多くのシステムへの導入実績があり、現在までに
合計 4,000万以上のユーザライセンスが販売されています。
* 出荷金額ベース 国内Webシングルサインオンパッケージ市場No1
日本HP:35.2%(出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望 内部統制型・情報漏洩防止
型ソリューション編 2009」2009年6月刊)
51
2010/1/29
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
HP IceWall SSOとは ~基本機能
基本機能
HP IceWall SSOはシングルサインオンにより、一度の認証で複数のWebアプリケーションへの
ログインを実現し、さらにセキュリティと「アクセスコントロールの4A」の統合を実現する製品です。
アプリケーション毎(まかせ)の管理
HP IceWall SSOを用いた統合管理
■アクセスコントロール4Aが
統合管理されているため、
ユーザの挙動実態が把握可能
■作業効率も大幅にアップ
コンプライアンス
オフィサー
■アプリケーション毎にバラバラの
アクセスコントロールで実態不明
アクセスコントロ
ルで実態不明
■管理コストもかかる
アクセスコントロール4A
・認証
認証 ・認可
認可
・管理 ・監査証跡
HP IceWall SSO
LOG IN
ID
PASS
IT管理者
アプリケーション アプリケーション
管理者
管理者
アプリ別
監査証跡の管理
Webアプリ
52
2010/1/29
Webアプリ
Webアプリ
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
アプリ別
認証・認可
アプリケーション
管理者
アプリ別認証
アクセス制御
HP IceWall SSOとは ~基本構成
基本構成
HP IceWall SSOは、エージェントレスでOSやWebアプリケーションに制限の少ない
リバースプロキシ方式を主体としたWebシングルサインオン製品です。
HP IceWall SSO基本構成図
POINT
1
POINT
リバースプロキシ方式
すべてのトランザクションが
IceWallサーバを通過。
認証認可チェックし、アタックを
防御する働きをします。
2 ・ エージェントの配布不要
HP IceWall SSO
・ OS、Webアプリに制約
が少ない
ネットワーク
Webアプリケーション
IceWall
サーバ
クライアント
PC
Webアプリケーション
POINT
3
認証モジュール
IceWallサーバからの要求を受
け、認証DB上の認証認可情報
と照合し,アクセスログを出力
53
2010/1/29
Webアプリケーション
認証サーバ
認証サ
バ
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
導入効果
HP IceWall SSOを導入することで、経営者、開発者、管理者、ユーザの皆様にさまざまなメリッ
トを与えることができます。
経営者
開発者
・ 内部からの情報漏洩対策
・ 内部統制への対応
・ 証跡の統合管理
管
・ ミッションクリティカルへの対応
管理者
・ アプリケーション開発のコスト削減
・ 既存のWebアプリケーションとの連携
・ 品質の高い製品の導入
高
ユーザ
・ユ
ユーザの統合管理(ID
ザの統合管理(ID、パスワ
パスワード
ド、
属性情報)
・ アクセス制御の統合管理
・ AD、LDAPとの連携
・ 運用コストの削減
・ ITインフラの水平統合化への対応
ITインフラの水平統合化 の対応
・ 新テクノロジーへの対応
(Webサービ ス等)
54
2010/1/29
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
・ 多くのパスワード管理
・ アクセスの容易さ
・ アクセス権限のあるアプリケー
ションの判別
・ セルフサービス
■導入効果
管理者の方
管理者の方へ
海外製品のアクセス制御方式で、運用負担が高くなっていませんか?
HP IceWall SSOは日本で開発された製品であることを活かし、
日本の組織にあった運用管理ができます。
本 組織 あ
管 が き す
具体例
人事部長から総務部長へ異動となった
Aさんのアクセス制御を行う場合
Aさん
個人属性+論理式で
アクセス制御
Aさん
IF 組織=人事部
IF 組織=総務部
IF 役職=部長
人事用
コンテンツ
55
2010/1/29
HP IceWall SSOのルールベース方式では、
個人属性が変われば自動的に変更処理されるので、
人事異動の多い日本企業でも安心
他社製品のロールベース方式
HP IceWall SSOのルールベース方式
現状
他社製品のロールベース方式では、
個人のロールを新たに割り当てなくてはならないので、
、
その都度、時間と費用がかかってしまう
変更後
現状
Then 人事用コンテンツ
Then 総務用コンテンツ
Then 部長用コンテンツ
部長用
コンテンツ
Aさん
人事部長
個人にロールを割り当て
アクセス制御
変更後
総務部長
認可ルール
認可ル
ル
総務用
コンテンツ
ロールテーブル
ロ
ルテ ブル
人事用
コンテンツ
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
部長用
コンテンツ
総務用
コンテンツ
HP IceWall SSOが提供する5つのメリット
HP IceWall SSOは利便性のみを追求する単なるポイントソリューションにはとどまらず、
複数の課題を解決し、企業あるいは対外サービス全体でITの最適化に貢献します。
Reliability 信頼
セキュリティ強化で企業の信頼性を向上させます。
Comfort 快適
クオリティの高い製品で快適なワークスタイルを
実現します。
企業が取り扱う個人情報、機密情報などの情報資産をセ
キュリティを強化することで守り、お客様や社会から信頼さ
れる企業になるためのサポートをします。
きわめて高品質で使いやすい製品です。運用者の負担と、
エンドユーザがアプリケーションを使用する際のストレスを軽
減し、一歩進んだ快適な仕事環境を実現します。
Care 安心
日本開発の製品で、
日本企業への細かいケアを行います。
Flexibility
y 柔軟
幅広いビジネス規模・ニーズに柔軟に応え、
未来の可能性を支えます。
グローバルIT企業であるHPの技術と経験をベースに日本国
内で開発をしています。機能・サポートの両面から、日本の
内で開発をしています。機能
サポ トの両面から、日本の
企業文化や組織構造に合わせたきめ細やかなケアを行い、
これによって常に安心してお使いいただくことが可能です。
幅広い価格体系で企業の規模・ニーズに合った適切な導入
ができ、その高い拡張性と他のソリューションとの連携で、長
張
長
く付き合える製品を提供し、企業の未来の可能性を支えます。
Professional 確実
専門的な知識と確実なサポートで
企業のビジネスを止めません。
HPが培ってきた豊富な導入経験と知見に基づき、短期間で
の確実な導入が可能です。また、ビジネスニーズに対応した
信頼性の高いサポートで、導入後のご相談やご要望にもス
ピーディーに対応し、企業のビジネスを止めません。
56
2010/1/29
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
5つのメリット
■Reliability 信頼
企業が取り扱う個人情報、機密情報などの情報資産をセキュリティを強化することで守り、
お客様や社会から信頼される企業になるためのサポートをします。
セキュリティ強化で企業の信頼性を向上させます
POINT
1
ID/パスワード漏洩を防止
ユーザに管理させるID/パス
ワードをひとつにすることによ
り、セキュリティ強度が上がる
POINT
2
HTTP攻撃を防御
攻撃(クロスサイトスクリプ
ティング、バッファオーバー
フローなど)をシャットアウト
POINT
3
情報漏洩を防止
アクセスコントロールやログ
の一元管理で不正アクセス
を防ぐ
ネットワーク
Webアプリケーション
IceWall
サーバ
クライアント
PC
POINT
4
Webアプリケーション
強固な認証を実現
他ソリューションとの連携によ
他ソリ
ションとの連携によ
る多要素認証や強力なパス
ワードポリシーが実現
Webアプリケーション
認証サーバ
57
2010/1/29
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
■Comfort 快適
HP IceWall SSOの処理性能
リバースプロキシ型はプロキシ部分に負荷が集中するためボトルネックになると考えられがちで
すが、HP IceWall SSOは処理性能が高いため、ボトルネックにはなりません。
また、認証サーバ部分と認証DBについても非常に高速です。
バ部
も 常 高速 す
現状では極めて大規模なサイトでも数千ヒット/秒 数百ログイン/秒程度と考えられます。
HP IceWall SSOは十分それに耐えうる製品構造をもっています。
高速処理性能の仕組み
プロキシ専用。
1,000hit/sec/台以上
dfw->MCRPにより
一層の高速化を実現
HP IceWall SSO
Webアプリ
IceWallサーバ
Network
MCRP
クライアントPC
マルチスレッド、コネクションプール
B*Treeなどにより高速処理可能
10,000hit/sec以上
,
58
2010/1/29
認証
モジュール
認証DB
書き込みが早いDBタイプを使用
可能。ログインログアウト時に
各1度のみアクセス
認証サ バ
認証サーバ
1 000ログイン/sec以上
1,000ログイン/sec以上
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
■Comfort 快適
管理ログ
HP IceWall SSOは精緻なログの取得が可能です。
内部統制やキャパシティプランニング、問題発生時の課題解決に活かすことができます。
取得可能なログ
■内部統制に重要
誰がいつどのコンテンツにアクセスしたか。ログイン失敗数 (監査証跡)
■キャパシティプランニングに重要
・ 各Webサーバへのアクセス数、コンテンツサイズ(トラフィック)
・ ログイン中ユーザ数、使用スレッド数、キュー数、コネクション数(ステータス)
■問題発生時の切り分けに重要
各Webサーバ、認証DBのレスポンス時間(パフォーマンス)
59
2010/1/29
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
■Flexibility 柔軟
Windows環境とのSSO
HP IceWall SSOはWindowsと統合認証することで、
後段のWebアプリケーションの認証を省略することができます。
Windowsと統合認証した場合
Windowsでの認証を済ませれば、
認証を済ま れば
あとは認証いらず
LOG IN
統合認証しない場合
STEP 1 Windowsの認証
認証
LOG IN
ID
PASS
ID
PASS
STEP 2 W
Webアプリケーションの認証
bアプリケ シ ンの認証
LOG IN
×
LOG IN
ID
PASS
ID
Webアプリケーションの
認証をする必要なし
60
2010/1/29
PASS
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
■Flexibility 柔軟
Windows統合認証とのSSOを実現する仕組み
HP IceWall SSOとWindowsとの統合認証は、下記のような仕組みで実現しています。
Kerberos v5 を利用したWindows統合認証とのシングルサインオン
Windows サーバ
サ バ
ドメインコントローラ
W2K SP2/
IE6.0SP1以上で
自動ログイン可能
MSAD
①Windowsドメイン
ログオン
②アクセス
IceWallサーバ
Network
③ログイン画面表示
クライアントPC
④自動ログインを選択
認証DB
ID :
パスワード :
自動ログイン
61
2010/1/29
モジュール
追加
認証サーバ
ログイン画面を
表示させないことも可能
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
認証DBの共通化も可能
Webアプリ
■Flexibility 柔軟
他認証システムとの連携 覧
他認証システムとの連携一覧
HP IceWall SSOでは以下の他の認証システムと連携することができます。
ベンダー
ベンダ
製品名
種類
IWとの連携
RSAセキュリティ(株)
RSA Adaptive
Authentication for Web
リスクベース認証
連携ソフトウェア提供(有償オプション)
RSAセキュリティ(株)
RSA Secure ID
ハードウェアトークン(ワンタイムパス
ワード)
設定で対応
ソニー株式会社
Felica
ICカード
設定で対応
ソフトバンクBB株式会社
SyncLock
携帯電話を使用した認証(ワンタイムパ
スワード)
連携ソフトウェア提供(有償オプション)
(株)ソリトンシステムズ
(株)ソリトンシ
テ
SmartOn
ICカード
カ ド
設定で対応
日本ベリサイン株式会社
VeriSign ManagedPKI
電子証明書
連携ソフトウェア提供(有償オプション)
パスロジ株式会社
PassLogic
マトリクス認証(ワンタイムパスワード)
ベンダーより接続用モジュール提供
日立ソフトウェアエンジニアリング
日立ソフトウ
アエンジニアリング
株式会社
静紋
生体認証(指静脈認証)
ベンダ より接続モジ
ベンダーより接続モジュール提供
ル提供
マイクロソフト株式会社
Microsoft Windows
Windows統合認証
連携ソフトウェア提供(有償オプション)
株式会社 ディー・ディー・エス
ID Manager for HP IceWall
クライアントサーバーアプリケーションID、 設定で対応
パ
パスワード自動代行入力
ド自
株式会社 ディー・ディー・エス
EVE MA
多要素認証プラットフォーム
設定で対応
大日本印刷株式会社
TranC’ert Enterprise
ICカード(クライアント証明書)
設定で対応
株式会社VASCO Data Security
Japan
VASCO DIGIPASS
ハードウェア/ソフトウェアトークン(ワン
タイムパスワード)
設定で対応
株式会社VASCO Data Security
Vacman
ハードウェア(ワンタイムパスワード)
設定で対応
62
Japan 2010/1/29
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
導入実績
多くのリーディングカンパニーにHP IceWall SSOを認証基盤としてご採用頂いています。
ver.8.0 R3までに4000万超ユーザライセンスを販売。Webシングルサインオンパッケージ市場シェアNO.1*
* 出荷金額ベ
出荷金額ベース
ス 国内Webシングルサインオンパッケ
国内Webシングルサインオンパッケージ市場No1
ジ市場No1
日本HP:35.2%(出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望 内部統制型・情報漏洩防止型ソリューション編 2009」
2009年6月刊)
お客様名
製品エディション
システム内容
ユーザ数
イーヒルズ(株)様(森ビルグループ)
EE
ビジネスポータル(EIP)
5万
NTT ミ
NTTコミュニケーションズ(株)様
ケ シ ンズ(株)様
EE PKI
EE+PKI
B B(ASP)
BtoB(ASP)
数万
(株)NTTデータ様
EE+PKI
保険共同ゲートウェイ
無制限
(株)NTT ドコモ 様
EE
BtoC
数百万
KDDI (株)様
EE
ASP(ファイル交換サービス )
-
住友商事(株)様
EE
イントラネット
1.3万
(株)損害保険ジャパン様
EE
代理店システム
数万
トヨタ自動車(株)様
EE
(株)三菱東京UFJ銀行(旧 UFJ銀行)様
EE+PKI
イントラネット、エクストラネット、
GSSO(SAML)
インターネットバンキング
数百万
三菱UFJインフォメーションテクノロジー(株)
三菱UFJインフォメ
ションテクノ ジ (株) 様
EE
マーケットプレイス
マ
ケットプレイス
3万
ソネットエンタテインメント(株) 様
SE
イントラネット
-
(株)アット東京 様
SE
イントラネット
数百
大手損保
証券会社
EE+PKI
EE
代理店システム
イントラネット
10万~
4000
証券会社
EE
Bt C
BtoC
10万
10万~
新聞社
EE
イントラネット
5000
保険会社
EE
イントラネット
10万
ユーティリティ会社
EE
イントラネット
5万
通信会社
SE
BtoB
1000~
大学
SE
イントラネット
ネ
1000~
EE
BtoC
100万
サービス会社
※EE=Enterprise Edition, SE=Standard Edition
63
2010/1/29
十数万
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
導入実績
シェアについて
ver.8.0 R3までに4000万超ユーザライセンスを販売。
3つの市場調査において業界市場シェアNO.1に輝くシングルサインオンソリューションです。
富士キメラ総研
「2009ネットワークセキュリティビジネス調査
ネッ
ク キ リティ ジネ 調査
総覧」
シングルサインオン 市場シェア 2008年(実
績) 35.6%
Webシングルサインオンパッケージ
2007年、2008年の競合製品とのシェア比較図
HP IceWall SSO
ミック経済研究所
「情報セキュリティソリューション市場の現状と
将来展望 内部統制型・情報漏えい防止型ソ
リューション編
リュ
ション編 2009」
Webシングルサインオンパッケージ
市場シェア 2008年(実績) 35.2%
ITR
「ITR Market View:アイデンティティ管理/内
部統制市場2008」
2007年
2008年
Webシングルサインオンパッケージ市場シェアNO.1*
* 出荷金額ベース 国内Webシングルサインオンパッケージ市場No1
SSO製品市場シェア
64
2010/1/29
32 8%
32.8%
日本HP 35 2%(出典 ミ ク経済研究所「情報セキ リティソリ
日本HP:35.2%(出典:ミック経済研究所「情報セキュリティソリューション市場
シ ン市場
の現状と将来展望 内部統制型・情報漏洩防止型ソリューション編 2009」
2009年6月刊)
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
Google Appsに対応した統合認証+ID管理ソリューションの必要性
Appsに対応した統合認証+ID管理ソリュ ションの必要性
情報資産を守る必要性の高まりとIT環境の複雑化
今、コンプライアンスへの対応、内部統制、リスク管理実施の一環として、企業の重要な情報資産を内
プ
管
施
情 資産
外から守る必要があります。利便性の高いWebアプリケーションによって業務効率が向上する一方、 ア
プリケーション数の増加によって、それぞれが異なっているセキュリティ強度や アクセス管理ポリシー設
計を統一することが困難になり、IT環境が複雑化する原因となっています。
統合認証ID管理基盤の必要性
この状況への対策として、認証やアクセス制御を統合・強化して管理することが
この状況
の対策として 認証やアクセス制御を統合 強化して管理することが 重要とされ、企業におい
重要とされ 企業におい
ては社内システムのID情報や認証基盤の統合化が進むと共に、統一ポリシーのもとで一括管理を行うた
めにシングルサインオンや統合ID管理ソリューションの導入が進んでいます。
SaaSの利用ニーズの高まりとその課題
その一報で、経済環境の悪化にともない、ITシステム全体のコスト削減に向けてGoogle Appsをはじめと
したSaaSの利用ニーズも高まりつつあります
したSaaSの利用ニ
ズも高まりつつあります。しかし、企業が新たにSaaSを利用する場合、社内システ
しかし 企業が新たにSaaSを利用する場合 社内システ
ムに加え、社外サービスであるSaaS用のID/パスワードを別に管理することが必要となり、そのために
管理負荷が増大し、セキュリティリスクへの対応が複雑になるという大きな課題を抱えていました。
65
2010/1/29
このような複雑なニーズに対応するソリューションを、
日本HP、エクスジェン、サイオスの3社が提供いたします。
Copyright © 2007-2009 HP corporate presentation. All rights reserved.
■全体概要
協業ソリュ ション全体概要図
協業ソリューション全体概要図
社内のID管理システムとGoogleAppsのIDの一元管理が行えます。さらに社内の各アプリケーションやGoogle
Appsに対しシングルサインオンできます。
66
2010/1/29
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
■各ソリューションの概要と主な役割
Exgen LDAP Manager ‐統合ID管理-
統合ID管理
Exgen LDAP Managerは、「プロビジョニング」「IDワークフロー」「ログ管理」「管理者メンテ」「セルフメンテ」の
機能を提供する統合Identity管理パッケージソフトウェアです。本連携では、IceWall用認証DBに対するユーザ
管理を含む企業内IDの統合管理機能を提供します。
LDAP Manager基本構成図
セルフメンテ
ワ クフ
IDワークフロー
管理者メンテ
プロビジョニング
Active Directory
標準プラグイン連携
利用者
ID利用申請
LDAP
管理者
Notes Domino
利用者
承認1
LDAP Managerマシン
(Windows2003STD)
Oracle DB
UNIX/Linux
承認2
ログ
利用者
2010/1/29
LDAPM Agent
Windows 2003
ログ管理
LDAPM Agent
LDAPマシン
(HP-UX)
67
Agent連携
Copyright © 2007-2009 HP corporate presentation. All rights reserved.
CSV連携
その他
業務アプリなど
■各ソリューションの概要と主な役割
SIOS Google Apps用シングルサインオンシステム・アカウント連携システム
‐Google
Google Apps連携
Apps連携-
SIOSはお客様の既存の情報システムとGoogle Appsを連携させるサービス を提供しています。統合ID管理
からのユーザ管理情報と連携し、Google Appsに対するユーザ管理の実施」本連携では、「統合認証からのシ
ングルサインオンと連携しGoogle
ングルサインオンと連携し
g Appsにログイン」「を提供します。
pp に グイン」 を提供します。
SIOS 連携イメージ図
ユーザ
ユ
ザ
Webアプリ
シングルサインオン
HP IceWall SSO
Webアプリ
ユーザ
Google Apps用
SIOS シングルサインオンシステム
ユーザ
IceWall
認証DB
Google Apps
Exgen
LDAP Manager
Google Apps用
SIOS アカウント連携システム
AD
メタDB
タ
LDAP
68
2010/1/29
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
統合ID管理
■本ソリュ ション導入のメリット
■本ソリューション導入のメリット
本ソリューション連携のメリットを以下に記載します。
■システム利用ユーザ
・管理するID、パスワードは1つだけとなります。
・GmailをはじめとしたGoogle AppsサービスにログインするためにID、パスワードを入
力する必要がありません。
■システム管理者
・社内システムにおけるユーザ管理(追加・変更・削除)がシームレスにGoogle Appsと
連携されるた
連携されるため、運用負荷が大幅に軽減します。
負荷が大幅 軽減 ます
・認証基盤によりセキュリティが強化されます。
・ 追加のソリューション連携(他のソリューションとの追加連携やHP IceWall SSOの
Macアドレス認証オプションの導入など)、今後も追加されるSaaSサービスへの連携
など、拡張性の高いシステムとなります。
69
2010/1/29
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
まとめ
•
70
HPは、自社のIT Security対策の方針を
Security対策の方針をベース
ス
としたフレームワークを利用し、HPソリューショ
ン及びアライアンスパートナーと連携したソ
リューションを、企業のITインフラ環境の全体を
踏まえた視点で提案が可能です。
2010/1/29
Copyright © 2009-2010 HP corporate presentation. All rights reserved.
71
©2010
UCFとは
NANAROQ INC.
2010/1/29
© 2010 NANAROQ Inc.
The information contained herein is subject to change without notice
コンプライアンス対応における現状と課題(弊社認識)
様々な団体から多様な要求があるため、企業はそれに振り回され、不要な費用を支払っています。
コンプライアンス環境
企業や自治体にみられる状況
国、地方自治体、産業界等、
様々な団体から多数の法令へ
の対応を要求される
各コンプライアンスごとに個別に
対応している
(同じことをそれぞれの法令対
応で実施している)
事件発生等、事あるたびに法令
が更新されたり、新規施行され
たりする
発令元が個別に行動しているた
め、類似した要求が別の言葉で
述べられ、各法令に類似した要
求事項が散在している
不要な工数(コスト)
が発生している
新規法令対応等の要求時、今
までの対応を有効に活用できな
い
© 2010 NANAROQ Inc.
2
コンプライアンス対応における改善余地
各法令の要求事項には重複があり、それを整理することにより必要最小限な対応でコンプライアンス
を達成可能です。
最適化前
各法令に個別に対応するため、対応
必要な要求の数は莫大
JSOX
ISO
要求事項の重複整理(イメージ)
言い回し等が異なるが、実は各法令で重複した要求が多数存
在
最適化後
要求事項は体系的に整理
全体の要求事項の数は大幅に削減
要求1
要求2
要求3
・・・
要求1
要求2
要求3
・・・
JSOX
ISO
要求1
要求2
要求1
要求2
要求3
要求3
要求4
個人情報保護
・・・
最適化された要求事項
IT戦略
要求1
要求2
要求3
要求4
監査・
リスク管理
要求A
要求B
要求C
・・・
要求5
個人情報保護
要求5
要求6
要求6
要求1
要求2
要求3
・・・
要求4
要求5
要求6
運用監視
・・・
要求7
・・・
© 2010 NANAROQ Inc.
3
UCF(
(Unified Compliance Framework)のご紹介
)のご紹介
○概要
• NANAROQ UCFは、世界中の法令・レギュレーションとIT統制をマップする世界で初めてのフレームワーク
です。
• 各法令ごとにばらばらの要求事項を整理し、要求事項を最適化します。(最小化、階層化)
• 最適化された要求事項に対する統制をひとつのエクセルシート(UCF)で管理することにより、お客様は1枚
のエクセルシートで全てのコンプライアンス業務への対応を実現可能です。
業界別規定
(PCIDSS等)
法令
(J-SOX/個人情報保護法等)
社外
最適化
コンプライアンス数:448
国際規格(ISO/TIL等)
証券取引所上場規定
IT統制
:2651
監査法人/QSA等
社内
UCF(エクセルシート)
業界ガイドライン
リンク
経営陣/管理者層
官公庁ガイドライン
(総務省/金融庁)
システムコンフィギュレーション
ガイドライン
詳細情報
・・・
内部監査人/スタッフ
© 2010 NANAROQ Inc.
4
UCFの実現すること
の実現すること
NANAROQ UCFはお客様の法令対応を効率化し、コスト削減を実現します
社内のコンプライアンス文書における重複、
重複、
それによる矛盾を明確化できます
それによる矛盾を明確化
複数の法令/規制等に対して、同時
同時
にコンプライアンスを主張できます
にコンプライアンスを主張
⇒不要な文書類の廃止
⇒不要なレポート作成業務の
廃止(自動化*1)
××
ポリシーポリシーポリシーポリシー
業界別規定
(PCIDSS等)
整理
法令
(J-SOX等)
コンプライアンス数:
448
国際規格(ISO/TIL等)
証券取引所上場規定
IT統制
:2651
業界ガイドライン
監査法人/QSA等
社内
UCF(エクセルシート)
リンク
官公庁ガイドライン
(総務省/金融庁)
システムコンフィギュ
レーションガイドライン
社外
経営陣/管理者層
詳細情報
・・・
内部監査人/スタッフ
500以上もある複雑な法令の要求事項に対して
一つのコントロールを定義できます
一つのコントロールを定義
コントロールに関する詳細や原文を容易に参
詳細や原文を容易に参
照可能です
照可能
⇒管理すべきIT統制項目の削減
⇒管理すべき 統制項目の削減
⇒法令調査・分析業務の自動化
*1:GRCツールの活用による
© 2010 NANAROQ Inc.
5
UCFによる重複把握の例
による重複把握の例
PCIDSSに新規対応する際、他の対応済みコンプライアンスがあれば、大幅に対応項目数を削減す
ることができます。
PCIDSSへの対応イメージ
PCIDSSに対応する際の検討項目削減事例
残検討
対応済コンプライアンス
個人情報US-SOX 項目数
Cobit
ISMS
項目
削減率
-
-
-
-
228
-
○
-
-
-
199
13%
-
○
-
-
173
24%
-
○
○
172
25%
-
-
-
○
170
25%
-
○
-
○
141
38%
-
○
○
○
141
38%
ISMS、個人情報保護、USSOX法を既に対応済みであれば
PCIDSSと38%が重複。
他コンプライアンスにおける既検討事項の把握により、
PCIDSS対応時の検討項目を大幅に削減可能
© 2010 NANAROQ Inc.
6
(参考)UCFの考案者
の考案者
(参考)
◆UCFの考案者
Network Frontiers LLC (ITコンサルティングファーム)と
Latham & Watkins LLP(世界的な法律事務所)が協働で
フレームワークを開発
◆2009年ガートナー リスクマネージメント&コンプライア
ンス部門にてクールベンダーとしてノミネート
◆UCFサイト(US)へのリンク
URL:http://www.unifiedcompliance.com/
© 2010 NANAROQ Inc.
7
(参考)UCFパートナー(
パートナー(US)のご紹介
(参考)
パートナー( )のご紹介
USにおいては、多数の企業がUCFを導入しています。また、UCFフレームワークを利用した製品や
サービスが多々開発されています。
海外におけるUCF利用状況
© 2010 NANAROQ Inc.
8
(参考)UCFサービス提供体制
サービス提供体制
(参考)
NANAROQはNetwork FrontierとパートナリングによりUCFサービスを提供していきます。
米国
NetworkFrontier
日本
NANAROQ
US/International
法令対応
Japan
法令対応
品質管理
日本語化
© 2010 NANAROQ Inc.
パートナー
コンサルティング
9
コンプライアンス診断サービスとは
•
コンプライアンス診断サービスとは、
のフレームワークを活用し、コンプライアンス対
コンプライアンス診断サービスとは、UCFのフレームワークを活用し、
とは、
のフレームワークを活用し、コンプライアンス対
応において、重複している可能性のある事項を抽出するサービスです。
− 重複コントロールのリスト化
− 合計コントロールの数の提示
•
本サービスを利用することで、以下の利点があります。
− コスト削減の可能性がある領域の把握
− 新規コンプライアンス対応の際の重複事項の把握
•
対応コンプライアンスは以下の通りです。
− 対応済み及び対応予定のコンプライアンスを選択可能
•
•
•
•
•
•
•
ISO 27001(ISMS)
ISO 27002
個人情報保護法令 2003
− (次世代電子商取引推進協議会) 民間部門における電子商取引に係る個人情報の保護に関するガイ
ドライン
− (経済産業省) 個人情報保護ハンドブック 1998
PCI DSS v1.2
US-SOX法
Cobit 4.1
その他、約450の法令
© 2010 NANAROQ Inc.
10
お問い合わせ
•
WebSite:
:
− http://www.nanaroq.com
•
メール:
− info@nanaroq.com
•
電話:
− 03-6804-6260
•
担当:
− 板倉
© 2010 NANAROQ Inc.
11