WEEDS Trace Seriesとは?
サーバやパソコンの“ユーザ操作記録”を取得し、監査するツールです。
主な特徴は以下の通りです。
● サーバ、データベース、パソコン、全てに対応
● 独自エージェントでログ取得し、ログの取漏れがなく、精度が高い
● 監査ポリシー登録機能で、自動的に“不正”を導き出せる
● 日次、月次、それぞれの監査レポートが付属し、すぐに監査運用が開始できる
● 監査運用(PDCA)に必要な機能を備えている(ログ収集、蓄積、レポーティング、監査結果登録)
● 操作をブロックする「Secure-Controll」機能で、様々な条件を指定して操作を抑止できる
金融機関をはじめとした企業に求められる“アクセスログ監査”は、単にサーバに存在するログを収集するだけでは行えません。
「取り漏れなく」「膨大なログを管理し」「監査すべきものだけを浮かび上がらせる」機能が求められます。
WEEDS Trace Seriesは、それらの機能を網羅し、日々進化し続け、金融機関におけるアクセスログ監査を確実に、低コストに、早期対応できます。
なぜ操作記録の監査が必要なのか?
情報システムリスク ⇒事業コアリスク
多くの企業(の事業)では、情報システムなくして成り立たないほど、情報システムは大変重要な位置づけになっています。 情報システムは、経営戦略を支援し、業務に利用されているため、その安定稼動が企業の信頼の大前提となっているわけです。 つまり、情報システムのリスクは、事業活動に伴って生ずる、事業リスクのコアリスクと言っても過言ではありません。
情報システムの統制には、操作記録の監査が必要不可欠
その重要な情報システムへ、操作やアクセスを統制(コントロール)することが重要であることはもちろんですが、その統制(コントロール)が効果的に機能しているかどうかを、確認する検証の仕組み(システム監査)があってはじめて統制の意味を成すと言えます。
事業の根幹をなす情報システムに対する操作やアクセスを監査すること、つまり、情報システムを利用するユーザに対して積極的に関与することで、企業存続と従業員の不正を未然に防ぐ、非常に重要な対策といえます。
操作記録の監査なくして“IT統制”、“セキュリティ対策”はならず
不正アクセスは73%が内部犯罪と言われています。
潜在的なものも含めると、圧倒的に内部犯罪が多いことがわかります。
内部犯罪→アクセス権利を持った人の犯罪→アクセスをブロックしても防げない→アクセスを監査する以外に手はない、と言えます。
このことから、もはやIT統制、セキュリティ対策にはアクセス監査なくして終わりはありません。
各種ガイドラインでも求められているアクセスログの監査
以下の通り、各種ガイドラインでアクセスログの監査が求めれらています。
金融機関をはじめとする企業では、年々対策の強化が求められています。
J-SOX対応
内部統制の中で、ITに関するのが「IT業務処理統制」「IT全般統制」であり、アプリケーションが前者、環境やインフラは後者に属します。
IT業務処理統制が正しく行われる為にも、IT全般統制が正しく講じられることが前提となり、その統制目標は「1.ITの開発・保守に係る管理、2.システムの運用・管理、3.内外からのアクセス管理などシステムの安全性の確保の必要性」と明記されていますが、具体的には、
@プログラム登録/変更の記録
Aコンピュータの操作
Bデータへのアクセス
を証跡として財務諸表に不正がないことを証明することを要求しています。
よって、上記の@〜Bの操作記録、すなわちアクセスを監査することで不正がないことを証明することを要求されています。
PCIDSS
国際カードブランド 5 社 (JCB, American Express, Discover, MasterCard, VISA)がカードビジネス関連事業者向けに、機密として扱うべきカード会員データや、取引情報の保護に関してビジネス上の最低基準を確立するために策定した基準で、具体的なセキュリティに関する施策が規定されています。
他のガイドラインに比べ、具体的な対策が求められており、海外ではカード会員情報の保持に関わらず、セキュリティ対策指針として対応している企業もある模様です。
全12要件のうち、要件10がアクセス監査の要件となっています。(※ 2010年10月にはバージョン2.0が出されました。)
WEEDS Trace Seriesによる、PCIDSS要件10への対応方法は、「PCIDSS 2.0への対応」ページをご確認下さい。
金融庁ガイドライン
2009年11月20日に、「金融分野における個人情報保護に関するガイドライン」(平成21年11月20日金融庁告示第63号)が更新されました。
具体的には「個人データへのアクセス記録及び分析」「個人データを取り扱う情報システムの稼動状況の記録及び分析」「個人データを取り扱う情報システムの監視及び監査」と、技術的安全管理措置について、システム利用状況の監査を実施することが書かれています。
WEEDS Trace Seriesによる、金融庁ガイドラインへの対応方法は、「金融庁 個人情報保護ガイドラインへの対応」ページをご確認下さい。
FISC(金融情報システムセンター)
「FISC:金融機関等のシステム監査指針 第3版」では、情報システムリスクを踏まえたコントロールと監査の必要性について書かれてあり、 情報システムに関わるコントロールの構築と、当該コントロールが効果的に機能しているかどうかを確かめるための第三者検証の仕組み(システム監査)が重要で、 業務の当事者や監督すべき立場にある管理者とは別の目で検証し、コントロールの欠陥や弱点を摘出したり、経営環境の変化に応じた適切なものとなっていることを検証する行為が必要不可欠であると、アクセスログ監査の重要性、必要性が明記されています。
よってアクセスログ監査は必要不可欠です
上記より、近年運用面におけるセキュリティ要件において厳格なものを求められるようになり、その要件は情報の質にこそ依れ、システム規模の大小に関わりません。
これは、どの企業においてもその例外ではなく、各種ガイドラインに応じた情報セキュリティ管理を徐々に強化する必要があります。
強化する情報セキュリティ管理の一環として、存在しうるできる限りの情報機器に対し、使用した操作記録を保持し、有事の際に確認・検証できる態勢を整えることは、未知の脅威に対し、効果的な対策となり得ます。
アクセスログ監査の狙いとする効果
従業員(システム担当者含む)及び委託先作業者の情報機器の利用に関する全ての記録を保持し、事件・事故発生後の敏速な経路特定を可能とし、顧客・社会に対する説明責任を果たせる仕組み・態勢の構築ができます。
この仕組みは、不正利用の傾向分析を行える基盤となり、能動的で定期的な監査によって、悪意ある不正行為を未然に防ぐ手立てとなる重要な仕組みと成り得ます。
アクセスログ監査が行えるWEEDS Trace Seriesの適応範囲
WEEDS Trace Seriesは、上記に記載したアクセスログ監査が行えるよう、オープン系システムの基盤となるミドルウェア全てに対応すべく、UNIX/Linuxサーバ、Windowsサーバ、データベースのアクセスログ収集エージェントが揃っています。(動作環境は各製品ページの仕様をご確認下さい)
これらのミドルウェア上で稼動するアプリケーションのプログラム変更ログ(WEEDS ITGC-Trace)、ファイルサーバへの外部アクセスログ取得や、プリンタサーバへのプリントアウトログ、サーバのアカウント情報、CPU/メモリ/HDDの各使用量などをエージェントがログとして取得します。
取得されたログは、ログ蓄積サーバへ転送され、WEEDS Log-Repository ManagerによってログDB(Oracleを使用)へ取り込まれ、各種ガイドラインやIT統制に適した監査レポートを生成します。
DBアクセス監査ツール「WEEDS DB-Trace」
個人情報や、財務諸表のデータが格納される情報の宝庫「データベース」。このデータベースへのアクセス(SQL)を監査しなければ、情報流出や不正改ざんが蔓延しかねません。
WEEDS DB-Traceは、すべてのデータベースアクセスを取得し、アクセスログとして管理します。
また、単にSQL文(DBアクセス)を保管するだけではなく、どのテーブルの、どのフィールドに、どのような条件でアクセスしたか、SQLを構文解析して、ログ保管しています。
なぜなら、単にSQL文を保管していても、監査をするには大変な労力がかかるからです。
詳しくは、DBアクセス監査ツール「WEEDS DB-Trace」ページへ。
UNIX/Linuxサーバーオペレーション監査ツール「WEEDS UNIX-Trace」
UNIXコマンドに明るい方でないと監査が難しいUNIXコマンド。実は情報漏えいは、サーバールームのUNIX機、Linux機から多く発生してしまっているのが現状です。UNIX機の特権ユーザーは何でもできる権限を持ち、簡単にシステムダウンをさせることもできてしまいます。
このUNIXコマンド及びパラメータ、コマンドの実行結果を取得、管理するのがWEEDS UNIX-Traceです。WEEDS UNIX-Traceでは、コマンドをエイリアス定義していても、実際に発動したコマンドを取得することができます。
詳しくは、UNIX/Linuxサーバーオペレーション監査ツール「WEEDS UNIX-Trace」ページへ。
Windowsサーバオペレーション監査ツール「WEEDS WinServer-Trace」
WindowsサーバのGUI操作、CUI操作(コマンドプロンプト)、外部アクセス(ファイルサーバなどの共有ファイル)、ユーザID情報をログ取得。
セーフモードの操作記録も取れ、サーバの利用は全て取得できます。
詳しくは、Windowsサーバオペレーション監査ツール「WEEDS WinServer-Trace」ページへ。
Windowsクライアントオペレーション監査ツール「WEEDS Windows-SecureControl」
誰もが慣れ親しんでいるWindows。クライアントPCだけでなく、サーバーOSとしても多くの企業が活用されています。ネットワーク操作やUSBフラッシュメモリー、印刷など、これらの操作をロギングし、監査運用をしていくことで、利用者への不正抑止効果は高まります。
セーフモードの操作記録も取れ、スタンドアロン環境の端末にも対応しています。(ログはレポートに変換してローカル保存)
詳しくは、Windowsクライアントオペレーション監査ツール「WEEDS Windows-SecureControl」ページ、スタンドアロン版はWindowsスタンドアロン版監査ツール「WEEDS Windows-SecureControl StandAlone」ページへ。
プログラム登録・変更監査ツール「WEEDS ITGC-Trace」
WEEDS ITGC-Traceは、システムアプリケーションモジュールの様々な変更を一元管理するプログラム登録・変更管理ツールです。お客様のシステム運用現場において、いつモジュールが反映されたのか、誰がどのような設定を施したのか、レポートを確認することで管理することが可能になります。さらに、人手で確認することが困難なファイルやフォルダの権限変更をレポーティングすることができます。これにより不正な権限変更を容易に検知することが可能になります。
詳しくは、プログラム登録・変更監査ツール「WEEDS ITGC-Trace」ページへ。
統合ログ管理サーバ「WEEDS Log-Repository Manager」
アクセス監査は、アクセスログを蓄積することが目的ではありません。アクセスログは、監査するために取得・保管しているはずです。
WEEDS Log-Repository Managerは、WEEDS Trace Seriesのアクセスログを統合管理でき、監査レポートを提供します。また、監査レポートは大量にあるログの中から監査すべきログだけを自動抽出してレポーティングすることで、監査運用の負担を大きく軽減できます。
詳しくは、統合ログ管理サーバ「WEEDS Log-Repository Manager」ページへ。
ファイルサーバー自動暗号化ツール「WEEDS Office Doc Manager」
「無法地帯のファイルサーバのセキュリティを強化したい」
「関係者以外からのファイル閲覧をさせたくない」
多くの企業では、ファイルサーバに何の暗号もかけておらず、情報漏洩の危機に晒されています。
内部統制だ、個人情報保護対策だとセキュリティを強化されているデータベースであっても昨今のような情報漏洩事件が多発しています。
まして単なるファイルであれば、“いつでも漏洩してください”と言っているようなものです。
DBであればアクセスするためのIDやパスワードでユーザーを限定することができますが、ファイルはパスワードを設定していなければ、誰でも簡単に情報を取得することができてしまいます。
また、暗号化がされていても、「毎回同じパスワードを設定していたり、社内で共通のパスワードを使用していたり」と社内の暗号化ルールに準拠していなければ意味がありません。
顧客情報・契約書類・社内伝達文書など、機密情報が格納されているファイルサーバからの情報漏洩を防ぐために“安全・確実な文書管理”が求められています。
クライアントやサーバにおけるファイルの暗号化ツールです。指定ディレクトリ内のファイルに対し、自動で独自暗号をかけます。
面倒なパスワードや有効期限の設定も、自動で設定・更新されます。
パスワードの請求履歴は、ログリポジトリサーバーへ蓄積され、いつ/誰が/どのファイルアクセスを実行しようとしたか、モニタリングできます。
詳しくは、ファイルサーバー自動暗号化ツール「WEEDS Office Doc Manager」ページへ。
アクセスログ個別カスタマイズツール「WEEDS TRACE Development Suite」
「個別アプリケーションやパッケージ製品など、操作記録を取りセキュリティ強化をしたいが、操作ログを取得できない。」
「業務上は許可したい操作(プリンタ出力など)だが、アプリケーション上からは許可せず抑止したい操作がある。」
個別のアプリケーションに対するアクセス監査を実施しようとご検討されているお客様では、このようなお悩みがあると思われます。
このような課題を解決するのが「WEEDS TRACE Development Suite」です。
「WEEDS TRACE Development Suite」なら、業務端末(PC)にセキュリティ強化を施すのではなく、アプリケーション個別にセキュリティ強化(ログ出力や機能制限)を施すことができます。
長年、アクセス監査ツールを開発/販売してきたWEEDSでは、WEEDS製品のアクセスログを使用して、様々な監査/ログ分析をご提案します。
詳しくは、アクセスログ個別カスタマイズツール「WEEDS TRACE Development Suite」ページへ。
アプリケーション毎のアクセス監査対策「WEEDS Application Trace」
データマイニングツール「SAS」のセキュリティ補完ツール「WEEDS SAS-Trace」
金融機関様や製薬会社様をはじめ、多くの企業が採用されているデータマイニングツール「SAS」。データマイニングツールでは絶大な評価を受けているツールです。
しかしながら、昨今の個人情報保護問題において、企業内でも使用方法を制限しなくてはならない事態に陥っています。
せっかくの高機能データマイニングツール「SAS」をもっと活用いただくために、セキュリティ補完できるのが「WEEDS SAS-Trace」です。
WEEDS SAS-Traceでは、SASのクライアントツールでの操作記録やサーバーサイドで実行した処理を取得し、監査レポートを生成します。SASで誰が、どのデータセットに何をしたか、監査することができます。
これによって、SASを存分に企業内で使用していただけます。
「Microsoft Dynamics CRM」のセキュリティ補完ツール「WEEDS DynamicsCRM-Trace」
「Microsoft Dynamics CRM」の利用及びデータベースへのアクセスを全て取得し、顧客情報の参照及びダウンロード、データベースの参照や更新、削除といった操作を監査するツールが「WEEDS DynamicsCRM-Trace」です。
詳しくは、「WEEDS DynamicsCRM-Trace」ページへ。
.jpg)