日々進化するITネットワークに対し、内部情報漏えい対策やIT統制を目的とした「Pマーク」、「J-SOX」、「ISMS」といった法令や国が定める指針、また特定の業界団体が策定したセキュリティ基準「PCI DSS」などが確立されてます。
企業はコンプライアンスを確立するために、それらセキュリティ基準の適合に向けた対策を推進しています。
統合ログ管理システム「LogStare」は、規模を問わず、内部統制を推進する企業の皆様に信頼のおけるセキュリティ基準を満たすためのお手伝いをいたします。
経済産業省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」
において、内部統制におけるIT統制の必要性が明記されていますが、具体的にはIT基盤「ハードウェア、OS、ネットワーク、データベース」への統制に対しIT全般統制の1つである「内外からのアクセス管理」が求められています。
つまりIT基盤に対するアクセス管理が必須となり、IT統制のモニタリングにおいては、
- 24時間365日ログの収集
- ログの収集の分析
- ログの一定期間の保管
「LogStare」の導入により、IT基盤「ハードウェア、OS、ネットワーク、データベース」のログ管理の実現が可能となります。
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員のカード情報を安全に守るために、主要の国際ペイメントブランド5社が共同で策定したクレジット業界におけるグローバルセキュリティ基準です。
ただ、現在このセキュリティ基準が注目を浴びているのは、具体的なセキュリティ実装基準が明記されていることで、クレジット業界はもちろんのこと、アメリカ国内だけでなく、日本国内においてもクレジットカード情報を取り扱う業者とはまったく関係ない企業・組織でも「PCI DSS」を企業のIT統制のセキュリティ基準として採用し始めています。
これは、クレジットカード情報を個人情報に当てはめることで、個人情報の取扱いを
クレジットカード情報と同等に扱えることになり、企業の情報セキュリティ対策がこのセキュリティ基準に事実上準じることと考えられます。
統合ログ管理システム「LogStare」の対応としては、「PCI DSS」で規定している「カード情報および取り引き情報を保護するための12要件」において、
********************************************
【要件10】ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し、監視すること
********************************************
つまりネットワーク資源およびカード会員データに対するアクセスログは管理者を含むすべての操作対象に記録し、確実に保護することが求められている。
よって、
- ログの内容はユーザIDやイベントタイプ、日付、時刻など詳細にわたり、しかも改変できないよう措置する。
(対応方法 -> LogStrare Tetra アーカイブ版) - セキュリティインシデントが発生した際には、速やかにログを確実に追跡できることも必須となる。
(対応 -> LogStrare Tetra 分析レポート版)
個人情報を取り扱う企業や団体となる業者は、正しくお客様の情報を運用し、さらには信頼を得るために、多くの業者がPマークを取得しています。
その取得基準となる「JIS Q 15001個人情報保護マネジメントシステム」の要求事項として、
・法令、国が定める指針、その他の規範を策定
・個人情報の安全管理のために必要かつ適切な措置を講じる
・運用確認監査として、定期的に個人情報保護マネジメントシステムが確認されるための手順を確立し、実施し、かつ 維持しなければならない。
こういった事項が明記されていますが、特に「法令、国が定める指針」として、
個人情報保護法「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(経済産業省:平成20年2月29日)の第20条(安全管理措置)には、技術的安全管理措置として講じなければならない事項として、
・個人データへのアクセスの記録
・個人データを取り扱う情報システムの監視
これらを実施する手段として、統合ログ管理システムLogStareで実現できます。
