Facebookクオリティ
製品導入の先を見据えた展開
運用ノウハウを提供し、「使える」ソリューションに
現状を把握するだけでなく可視化することが重要
2008年4月期以降、上場企業は日本版SOX法への対応が求められるようになった。現在、IT統制を進めるため、さまざまなソリューションを導入し、テスト環境から本番環境に移行して稼働させ始めている企業が増えている。
IT統制を支援するツールやソリューションは非常に多く流通しているが、ログを取得し監査に活用することが必須であることから、とくに「ログ監視」ツールが注目されている。クオリティでは、クライアント操作ログ取得ツール「QOH(Quality Operate Hawkeye)」を提供している。これを使えば、最大11種類のクライアント操作ログが取得できる。また、レポーティングツールのeX Reportと連携することにより、取得したログデータをグラフィカルに表示可能なため、社内の現状を可視化するには最適なツールといえるだろう。
ログ監視ツールは、セキュリティポリシや閾値を定め、これらの条件を満たさない場合にアラートを出すものが多い。アラートがなければ、その状況はセキュアであるとみなされる。管理者が24時間管理コンソールに張り付いて監視できれば、リアルタイムにアラートをチェックできるが、日々の業務に追われるシステム管理者にとって、それは現実的ではない。通常は、定期的に発行されるレポートを見て状況を把握し、問題が起きている個所を特定していくケースがほとんどだろう。そういった意味で、ログデータを取得するだけでなく可視化し、定期レポートを自動生成するといったソリューションは必須なのだ。
グレーなケースに対しても
運用プロセスを提供できる
ほかの課題もある。実際にPCセキュリティツールを導入して監査すると、黒とも白とも見分けがつかないケースが多いことに気づく。例えば現状のセキュリティポリシに抵触はしていないが、業務には無関係なアプリケーションなどが開発・提供されていることがある。一般に、ソフトウェアは3-4万種類以上が流通しており、日々数百種類ずつ増加しているといわれている。クライアントPC数が数千台規模の企業の場合、インベントリを取得すると1-2万種類程度のソフトウェアが検出されることもあるという。有名なアプリケーションであればライセンス管理も正しくできるだろうが、これだけ多くのソフトウェアを把握するのは、ほぼ不可能だろう。これらのツールをどうするかについては、必要に応じて判断していくしかない。つまりPCセキュリティツールによって、現状を把握→可視化→対策といったSTEPを回していくだけでなく、中心となるポリシやルールの改定・改善を常に行っていかなければならないということだ。
クオリティは、実際に自社製品を自社で運用している。内部統制の目的である、健全な企業風土の構築への対応はもちろん、上場企業並みの基準を設け、監査法人の助力を受けながらその運用ノウハウを蓄積してきた。前述の例のように、実際にグレーなケースが生じた場合にも対応できるフローが稼働している。ツールを導入するだけではなく、業務プロセスを含めた運用ノウハウを提供できるのが同社の強みだ。
実は、同社はさまざまなセキュリティソリューションを提供している。それらのソリューションを導入したエンドユーザが「確実に使いこなせるよう」になるため、製品提案以外での支援活動にも注力している。運用ノウハウをメールニュースで配信したり、場合によっては人的な支援をパートナー経由で行う有償サービスもメニュー化している。クオリティは、同社のツールとノウハウを活用し、すべての顧客企業でIT統制を実現することを最優先課題としているのだ。「ツールの導入」だけではセキュリティ統制は実現できない―それは、実際に試してみてわかった現場の声でもあるのだ。
クオリティでは、顧客企業の視点に立ち、同社ソリューションの導入のハードルをさらに下げるべく、ソリューションを選定する際の材料となる「製品ロードマップ」を公開している。このロードマップを参照すれば、顧客企業は、クオリティの現在の製品群やその取り組みに加え、将来性も考慮して製品を選定することができるようになる。また、自社のシステムをどのようにしていくのかという計画と照らし合わせ、必要なソリューションだけを購入することも可能だ。また、パートナー企業は顧客課題を聞き出し、最適な提案ができるようになるだろう。双方にとってメリットの大きいサービスだ。
クオリティ=http://www.quality.co.jp/
