Secure Computing Conference Expo 2006

DATE 20 JUL 2006


 7/20に大手町サンケイプラザで開催された、IDG主催Secure Computing Conference Expo 2006を見てきましたのでレポートします。プログラムは以下。

内部統制時代に求められる情報セキュリティ管理 (株)アイ・ティ・アール 金谷 敏尊
妥協亡きコンプライアンス 「Arcsight御紹介」マクニカネットワークス(株) 一丸 智司
Securing the LAN 〜 The latest challenge in network security 〜ConSentry Networks, Inc Jeff Prince
コーポレートワイドのセキュリティ対策に求められる「暗号化コンテンツの監査」マクニカネットワークス(株) 森 重憲
内部統制において情報システム部門がどのように関与するかの考察(株)プロティビティ ジャパン 豊倉 光伺

○Secure Computing Conference Expo 2006
http://www.idg.co.jp/expo/scce/

○内部統制時代に求められる情報セキュリティ管理 金谷 敏尊

 最近よく聞くキーワードとしてJ-SOX法、内部統制というのがあります。それらが気になっていたので今回このセミナーに行ったという次第です。
 SOX法とはアメリカでのエンロン、ワールドコムなどによる粉飾決算を教訓にこういう会計不祥事が起こらないようにということでつくられた法律。SOXというのはこの法案を提出したアメリカ民主党上院議員のポール・サーベンスと共和党下院議員のマイケル・オクスリーの名前から来ているそうな。しかし、彼らが新しい発見をしたわけでもないのに、なんで議員の頭文字なんかくっつけてるんですかね(^^;?
 アメリカではこのSOX法が施行されて3年になりますが、アメリカの子分の日本にも同様な法律が必要だ、というわけで日本向けにカスタマイズしたのがJ-SOX法というわけです。対象となるのは一応上場企業ですが、関連子会社にも波及しますので、日本では7万社ぐらいが影響を受けるようです。このJ-SOX法はこの7月に金融庁から提出される予定だったらしいのですが、カスタマイズに手間取っているらしく今だお目見えしていないという状態です。この日セミナーをした人たちはこのJ-SOX法をビジネスチャンス(^^;にしようとしている会社ばかりだったので、なんで遅れてるんだ!という”いらだち”のようなものが感じられました(^^;;
 内部統制(internal control)というのはこのSOX法を守るにあたり企業が社員を統制する仕組みのことを言っています。しかし、英語を直訳しただけの単語ですがなんか感じ悪い言葉ですよね(^^;
 で、SOX法を守るために社員を内部統制するにはどうしたらいいのか、というのがこのセミナーの主題なわけです。

 アイ・ティ・アールというのはIDG系のセミナーではよく出てくる情報コンサルです。SOX法の概要とどんな内部統制をすれば良いかという話をしていました。COBITというアメリカのITガバナンスの指針があるそうですが、そのうちSOX法に該当するのが318コントロールで、更にその中でITに関するのが163コントロール、更にその中で情報セキュリティに関するのが50〜60コントロールだそうです。情報セキュリティ分野では具体的にはアイデンティティ管理、アクセス制御、バックアップ、オペレーションログなどのことを指しているそうです。つまりこういうことをきちんとやって、記録に残しておけということです。
 アイデンティティ管理とはIDの管理をしっかりするということ。つまりいなくなった人のIDがいつまでも残っていたり、一つのIDを複数で使いまわしたりしていないかということです。アクセス制御はきちんと権限わけして、見てはいけない物が見えてしまうようになっていないかということです。これら、口で言うのは簡単ですがいざ実現しようとするとなかなかできないことですね。
 では簡単に実現するにはどうしたらいいか。お金を出して対応システムを買ってください、ということになるのです(^^;
 というわけで、まずはアイデンティティ管理ですか。Microsoft Identity Integration Server 2003IBM Tivoli Identify Manager など、まあ大手ベンダーならみんな出してるみたいですわ(^^; お金がないとこは仕方ないから手作業でせっせとやってSOX法違反で捕まらないようにがんばってください(^^;
 個人情報保護法ブームがやや下火となった今、こんな具合に新法を前に舌なめずりして各種ベンダーの皆様は待ってるわけです。

○アイ・ティ・アール
http://www.itr.co.jp/


○妥協亡きコンプライアンス 「Arcsight御紹介」 一丸 智司

 お次は内部統制するための具体的なソリューションの紹介第一弾です。ここで紹介されたのはマクニカの売っているArcSightという名前の監視システム。各種サーバーやらスイッチなどにArcSightのエージェントを入れることにより、ネットワーク上で何が行われたかというのを監視レポーティングするものです。ウイルスとかアタックはもちろんこと、どの社員がどのサイト見てどのファイルいじっていたかというのもわかります。つまりこれを入れることにより社内LANが丸裸ってやつですね(^^;

 このシステムはアメリカのCIA、そして海軍以外の空軍、陸軍、海兵隊のネットワークに導入されているそうだ。ということはこのシステムにセキィリティホールがあった場合世界最強の米軍は一網打尽ということですね(^^; しかし、軍事部門への採用を自慢するような企業を私は信用できませんね....。

○ArcSight
http://www.macnica.net/arcsight/


○Securing the LAN 〜 The latest challenge in network security 〜 Jeff Prince

 逐次通訳での講演。内容はコンセントリー商品の紹介です。
 これも先ほど紹介したArcsightと似たようなものです。ArcSightは様々な機器にエージェントを入れて情報を収集するのに対し、本製品はワンボックスになっていて、ネットワークの中継点に入れることによりそこからパケットを拾って情報収集するというものです。お手軽度、から言えば本製品の方が上ですが、故障でもすればネットワーク全体に影響することになります(二重化すればいいのですが)。

 Arcsightもコンセントリーもマクニカが日本で独占的に売ってるというわけでもなく様々な会社が代理店販売やっています。

 こういう製品はセキュリティアプライアンスとか、セキュリティスイッチとか呼ばれているみたいですが、最近の製品はこういった機能が肥大しているように見えます。私はこんな盗聴機能を充実させるよりか、通信の暗号化に力注いだ方がいいと思うのですが。しかし、そうすると企業としては社員が機密情報を漏らしたりテロリスト(^^;と通信したりするかもしれないので安心して雇うことができなくなってしまうんですかね。そんなに社員が信用できないで心配ならもう会社なんかたたんでしまえばいいのに(^^;;

○ConSentry
http://www.macnica.net/consentry/


○コーポレートワイドのセキュリティ対策に求められる「暗号化コンテンツの監査」 森 重憲

 先のセッションところでも書いたが、暗号化が本セッションのキーワード。インターネットに出るときはメールなどの情報は暗号化されているべきだが、その内容が会社で把握できないと困るなあ、という企業経営者のあなたにぴったりな製品がこれです!CODE GREEN+PGP。CODE GREENをネットワークの中継点に仕掛けておけば機密情報がここを通った瞬間に検知し遮断することができます。MAIL以外にもhttpやftpなどのプロトコルにも対応。添付ファイルや、加工された機密情報までも検知可能。そして検閲を終了した後のメールは世界標準のPGPにて暗号化し通信します。各自が暗号化しないでも自動的に暗号化してくれるので安心です。
 米国政府は個人が暗号化して通信することを非常に嫌がっていますが、それは企業も同じなんですね(^^;

 しかし、最近は”盗聴”が”監査”という言葉に置き換わってきているような気がするのですが気のせいでしょうか。

○CodeGreen
http://www.macnica.net/codegreen/

○PGP
http://www.macnica.net/pgp/


○内部統制において情報システム部門がどのように関与するかの考察 豊倉 光伺

 protivitiというのはワールドコム、エンロン粉飾事件により潰れたグローバル監査法人のアーサーアンダーセンが復活(^^;した会社ということのようです。人員も拠点もほぼ引き継がれ看板をかけかえてprotivitiという名前でゾンビのように生き返りました。
 彼らが原因でできたSOX法だったわけですが、恥ずかしげもなくそれを使って彼らはコンサル(金儲け)しようとしているのです(^^; しかし、これってキツネが油揚げ売ってるようなもので全く信用できません。まあ、彼らは油揚げを売るしか金儲けの手段がないのでしょうが(^^;
 もしSOX法でprotivitiという会社が大儲けしているなら、エンロン粉飾事件は911同様、自作自演だったということがあるかもしれません。監査法人や監査コンサルが儲かるように自爆テロをしたという高等戦術ですね(^^;
 私が思うに、本来は監査法人自体がグローバル大企業になってしまっていることがおかしいのです。お金儲けを目的とした企業が他の会社の監査をするなんてことができるのでしょうか?

 実際protivitiジャパンはJ-SOX法の施行を前にしてひっぱりだこ状態のようです。バスの定員(コンサルできる企業の数)は限られているので早く乗ってくださいね!とセッションの聴衆に呼びかけていました。というわけでキツネと一緒にバスに乗ってみたい人は早めに動いた方が良いようです(^^;

 本セッションのタイトルにある”情報システム部門がどのように関与するか”ですが、タイトルにあるだけで、特になんだという話はしていませんでした。SOX法にまつわるトピックを話し、では何をしたらいいのかという案を提示していた感じです。詳しくはコンサルしますよ、ってことなんですよ。
 彼らが言うにはSOX法に対応するためにはまずは次の3つの文書をつくる必要があるんだそうです。業務フロー図、リスク コントロール マトリクス、業務記述書がそれだそうです。調べたところこのvisio2003用テンプレートがマイクロソフトとプロティビティジャパンが共同開発して”無償”で提供しているそうです。書き方がよくわからなかったらキツネに聞けばきっと教えてくれることでしょうね(^^;

○protiviti
http://www.protiviti.jp/

○マイクロソフトとプロティビティジャパンの共同開発による「Visio 2003 内部統制テンプレート」を無償配布開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2623

25 JUL 2006 wrote

|TOP|