継続的なコンプライ アンス遵守の実現

Technology Blueprint
継続的なコンプライ
アンス遵守の実現
コンプライアンス遵守の達成と継続的な維持
SECURITY CONNECTED
REFERENCE ARCHITECTURE
LEVEL
1
2
3
4
5
Security Connected
マカフィーのSecurity Connected
フレームワークは、複数の製品、
サービス、パートナーの統合を可能
にすることで、効率的かつ効果的に
一元的なリスク軽減を実現します。
20年以上の実績を持つセキュリティ
プラクティスを基盤に構築された
Security Connectedアプローチを
通じて、規模やセグメントを問わず、
すべての地域の組織がセキュリティ
体制を改善し、セキュリティを最適化
することでコスト効率を高め、戦略的
にセキュリティとビジネスイニシアチブ
を整合させることが可能になります。
Security Connectedリファレンス
アーキテクチャーは、構想から実装
までの具体的な手法を提供します。
このアーキテクチャーを利用する
ことにより、Security Connectedの
概念をお客様独自のリスク、インフラ
ストラクチャー、ビジネス目標に適合
させることができます。マカフィーは、
常にお客様を保護する新しい方法
を見出すことに専心しています。
コンプライアンス遵守の達成と継続的な維持
現状
企業では、 SOX 法 (米企業改革法) に基づく年次監査が 1 月に行われ、 続く 4 月
には PCI (クレジットカード業界) の監査、 8 月には顧客への責務を満たしていること
を確認する国際監査が行われます。 この一連の監査が終了すると、 PCI 監査人が、
4 月の監査結果に対して適切な処置が取られているかの証拠を求めて再び訪れます。
12 月には一息つきたいところですが、あっという間に SOX 法に基づく監査の時期がやっ
てきます。 そして、 このサイクルはずっと継続していきます。
アルファベットの略語で構成される多数の法規制と基準に対するコンプライアンスの
実証は、 非常に時間を浪費する作業です。 各監査の要件はほぼ同じなのですが、
各監査を異なる機会として捉え、 この過程で余計な作業に時間をかけ過ぎている組織
が大半を占めています。 コンプライアンスを一度実証できたら、 次回の監査は、 未承
認の変更を防止し、 この制御を立証するだけの単純な作業になるはずです。 残念な
ことに、 ほとんどの組織はこうした機能を所有していないため、 コンプライアンスの実証
は毎年決まって苦痛になっています。
䝁䞁䝥䝷䜲䜰䞁䝇㑂Ᏺ䛾䝁䞁䝖䝻䞊䝹
䝁䞁䝥䝷䜲䜰䞁䝇
㐪཯
┘ᰝ䛸ಟ᚟
䝁䞁䝥䝷䜲䜰䞁䝇
䝌䞊䞁
一般的なコンプライアンスプログラムでは、コンプライアンス違反を防止する手段を講じられません。コンプライアンス
違反が発生すると、監査と修復が繰り返される厄介なサイクルが発生します。継続的なコンプライアンスを維持すると、
システムは長期間にわたってコンプライアンスゾーンに留まるため、監査と修復に関連するオーバーヘッドが大幅に
低減されます。
2
継続的なコンプライアンス遵守の実現
課題
ソリューション選定の要素
「継続的なコンプライアンス」とは、組織に求められている、システムをコンプライアンス対応させ、将来の
違反を防ぐことを意味します。継続的なコンプライアンスを持続すると、システムが常に要件を満たす状況
にあることと、要求に応じてこのことを実証するために必要なツールを所有していることが実証されるため、
監査関連のコストを最小限に抑えることができます。コンプライアンスに関与しているITスタッフの大半は、
継続的コンプライアンス戦略に賛成なのですが、組織で所有しているツールには数々の制限があるため、
この戦略の実現は困難になっています。
• 柔軟性に欠ける専用ツール:
柔軟性に欠ける専用ツール 多くの組織は、異なる規制ごとに異なるツールを使用しています。重複
する複数のツールとスプレッドシートを使用すると、コストがかさみます。また、さまざまな規制によって
課されている要件がほぼ同じであることを認識できません。
• 手動での監査:
手動での監査 システムの監査は手作業の労力を要する作業になることがあります。そのため、監査は
絶対必要な場合にしか行われておらず、監査人が監査に訪れるまでコンプライアンスの問題が発覚し
ないことがあります。
• コンプライアンス違反説明できないコンプライアンス違反:
コンプライアンス違反説明できないコンプライアンス違反 監査人による監査が終了した後は、コンプ
ライアンスの維持が困難になる場合があります。ビジネスユーザーとシステム管理者は、ソフトウェアを
インストールして、コンプライアンスステータスに影響を及ぼしうる構成変更を行うことがあります。何が
変更されたかを容易に追跡してレポートできる機能や、未承認の変更の防止機能がなければ、年次
監査は常に負担となるでしょう。
アーキテクチャーには、次のよう
な要素が影響します。
• 現在どのような規制の対象に
なっているか、どのような内部
セキュリティ基準が関連してい
るか
• 組織内で監査データへのアク
セスを必要とするのは誰か
• システムにエージェントを導入
することは可能か、またはネッ
トワークベースの監査ソリュー
ションは必要か
• BMC Remedyなどのチケッテ
ィングシステムを使用して、組
織内の変更管理プロセスを追
跡しているか
• 承認された変更の追跡が困難:
承認された変更の追跡が困難 すべての変更が悪いわけではありませんが、コンプライアンスに関して
言えば、未承認の変更が安易に望ましくない監査結果につながってしまうことがあります。変更を承認
済み変更要求に関連付ける自動化されたクローズドループのプロセスがなければ、変更を正当化する
ための不必要な作業に時間を取られてしまいます。
• レポーティングのサイロ化:
レポーティングのサイロ化 システムの監査とコンプライアンスの実証には多くの人が参加しますが、
参加者それぞれが異なる情報を必要とします。監査人は、各システムの状態、監査人による最後の監査
以降に何が変更され、何が変更されていないかについての詳細な可視性が必要です。システム管理者
は、監査結果に対する監査人からの詳細な説明や、修復のための手段を知る必要があります。ビジネ
ス部門の取締役は、コンプライアンスの状況と改善策をまとめた定期的な概要レポートが必要です。
継続的なコンプライアンス遵守の実現
3
解決策
継続的なコンプライアンスを実現するには、外部の法規制ベンチマークおよび内部のカスタムベンチマーク
セットに照らして、システムのコンプライアンスを定期的かつ自動的に評価する機能が必要です。一度コン
プライアンスが確認されたら、監査済みシステムをコンプライアンス状態で固定し、将来問題になりうる
変更を防止する必要があります。理想的なソリューションは、次の機能を通じて継続的なコンプライアンス
をサポートするフレームワークを提供します。
• 幅広い法規制要件のニーズを満たす柔軟性:
幅広い法規制要件のニーズを満たす柔軟性 その場限りのコンプライアンスは、長期的に利用できる
拡張性がありません。継続的なコンプライアンスを達成するには、特定の組織のコンプライアンスを
表現するフレームワークが必要です。このフレームワークには、独自の要件に応じてカスタマイズできる
パッケージ化された幅広い法規制コンプライアンステンプレートや、必要に応じて新しいベンチマーク
を定義できる機能も必要です。これらのベンチマークを保持し、法規制の進化に合わせて更新していく
必要があります。
• 自動化された透過的な監査:
自動化された透過的な監査 頻繁に自動的に監査を実行することにより、問題を浮き彫りにし、正式な
監査結果となる前に解決することができます。コンプライアンス監査は、管理者による手動でのデータや
結果の収集を必要とせずに、スケジュールにしたがって自動的に実行できる必要があります。また、ビジ
ネスに影響が及ぶことがないように、管理者がどのシステムがいつ監査されるかを調整できる機能が
必要です。
• ビジネスを停止させずに未承認の変更をブロック:
ビジネスを停止させずに未承認の変更をブロック システムへの未承認の変更を防止することで、監査
のたびに発生する分析を大幅に低減できます。たとえば、システムのコンプライアンスが先週実証され、
それ以降に変更が行われていない場合は、手を煩わせずに現在もシステムがコンプライアンスを継続
していることがわかります。ただし、単純に変更をすべて防止する状況は望ましくありません。アプリケー
ションはビジネスのニーズを満たすための更新が必要です。また、OSは定期的なパッチが必要となり、
データベースは管理者によるパフォーマンスの調整が欠かせません。コンプライアンスは、効率性を
維持するための定期的な変更と、継続的なコンプライアンスに違反する未承認の変更を区別する手段
を提供する必要があります。
• 変更の承認と調整のためのクローズドループプロセス:
変更の承認と調整のためのクローズドループプロセス 多くの組織は、BMC Remedyなどのチケッティ
ングシステムを使用して組織内の変更管理プロセスを追跡しています。これらの既存のツールやプロセ
スと組み合わせることで、コンプライアンスフレームワークは、変更が承認されていることに加え、承認
された時間帯に権限のあるユーザーによって行われていたことを保証できます。通常のプロセス外の
変更は、自動的に記録してブロックする必要があります。
• 幅広い利用者向けの効率的なレポート:
幅広い利用者向けの効率的なレポート さまざまなコンポーネントから収集した情報をレポーティング
フレームワークに統合し、異なる多くの利用者のためにさまざまな詳細レベルのレポートを柔軟に提供
できる必要があります。優れたソリューションは、経営陣向けのグローバルコンプライアンスダッシュ
ボード、重要なビジネス関係者向けのリアルタイムアラート、監査人と技術スタッフ向けの詳細なオン
デマンドレポートを含む柔軟なレポーティングフレームワークを提供します。
4
継続的なコンプライアンス遵守の実現
マカフィーのソリューションで使用されているテクノロジー
こうした要件を満たすために、マカフィーのソリューションはコンポーネントを連動させて次の機能を提供し
ます。
• コンプライアンスベンチマークの定義とコンプライアンス監査(McAfee ® Policy AuditorとMcAfee
Vulnerability Manager for Databases)
• コンプライアンス違反の検出と防止(McAfee Change ControlとMcAfee Database Activity
Monitor)
• 監査修復に関連するワークフローの管理(McAfee Change Reconciliation)
• ソリューション全体の一元管理とレポーティング(McAfee ePolicy Orchestrator®)
䝃䞊䝞䞊䛸䝕䝇䜽䝖䝑䝥
䝏䜿䝑䝔䜱䞁䜾䝅䝇䝔䝮
䠄BMC Remedy䛺䛹䠅
McAfee
Change
Reconciliation
䝕䞊䝍䝧䞊䝇
McAfee
Change Control
Plug-In
McAfee
Policy Auditor
Plug-In
McAfee
Change
Control
McAfee
Policy
Auditor
McAfee
Database Activity
Monitoring
Plug-In
McAfee
Vulnerability
Manager for
Databases
McAfee
Database
Activity
Monitoring
McAfee ePolicy Orchestrator
McAfee
Policy Auditor
Benchmark
Editor
マカフィーの継続的なコンプライアンスのためのソリューションは、単一の統合フレームワークにコンプライアンス監査と
変更管理を組み込みます。
McAfee Policy Auditor
ベンチマークの定義とコンプライアンス対象システムの監査機能を提供するPolicy Auditorは、マカフィー
のコンプライアンスソリューションの中核をなします。Policy Auditorは、3つの主要モジュールで構成され
ています。
• Benchmark Editor:
Editor Policy Auditor Benchmark Editorは、監査の基本となるベースラインポリシー
の定義に必要なツールを提供します。Benchmark Editorは、最も一般的な法規制と基準の幅広い
定義済みテンプレートを提供し、カスタムポリシーの定義もサポートしています。
• Policy Auditor Server:
Server Policy Auditor Serverは、McAfee ePolicy Orchestratorにより実行・
管理されます。監査タスクの定義に必要なフレームワークを提供し、定義したタスクをクライアントに
配布し、監査結果を取得してレポートを作成します。
• Policy Auditor Plug-in
Plug-in: Policy Auditor Plug-inは、 Policy Auditor Serverから監査要求を受信
し、ローカルシステム上で監査を実行し、分析およびレポート作成用のサーバーに結果を返します。この
プラグインにより、Windows、MacOS、Red Hat Linux、SUSE Linux、Solaris、HP/UX、AIXを含む
幅広いプラットフォームを監査できます。
継続的なコンプライアンス遵守の実現
5
McAfee Change Control
McAfee Change Controlでは、ポリシーを強化し、環境全体の構成設定を固定することができます。
監視モードでは、ファイル整合性監視機能が、重要なファイル、ディレクトリー、レジストリキーへの変更を
追跡し、可視性とリアルタイムアラートを提供するため、インシデントを迅速に解決できます。読み取り/書き
込み保護に基づく変更防止機能は、ポリシーに従っていない変更を防止し、すべての変更の試みを記録し
ます。未承認の変更を防止することで、システムが長期にわたってコンプライアンス対応していることを保証
し、コンプライアンス違反をなくすことができます。
McAfee Change Reconciliation
McAfee Change Reconciliationは、Change Controlによって特定された変更と、外部チケッティング
システムの関連チケットまたは変更要求を関連付ける機能を提供します。Change Reconciliationは、
記録されたすべての変更を確認し、適切な変更要求チケットへのマッピングを試みます。適切に文書化
されている変更は、監査目的で記録されることがありますが、それ以上の分析は不要です。承認なしで行
われた変更や、適切に文書化されていない変更は、フォローアップ分析のためにフラグが付けられます。
Change Reconciliationは、重要システムのコンプライアンス維持のために必要な、自動化されたクロー
ズドループの変更管理を提供します。
McAfee Vulnerability Manager for Databases
McAfee Vulnerability Manager for Databasesは、Oracle、Microsoft SQLなどのデータベースの
既知の脆弱性と、セキュリティポリシーや基準に対するコンプライアンスを監査します。
McAfee Database Activity Monitoring
McAfee Database Activity Monitoringは、データベースの変更とデータへのアクセスを監視し、
オプションで防止します。この機能は、機密データの保護やアクセス制御を義務付けているPCIのような
多くの法規制要件を満たすために重要です。McAfee Database Activity Monitoringが提供する法規
制モジュールでは、機密データの所在、これらのデータへのアクセスが許可されているアプリケーションと
ユーザーを特定することができます。また、管理者や監査人が確認できるように、未承認のデータアクセス
と変更をデータベース構成に記録します。コンプライアンス違反を低減するために、これらのアクション
すべてをブロックすることも可能です。
McAfee ePolicy Orchestrator® (McAfee ePOTM)
McAfee ePOは、マカフィー製品とマカフィーのパートナーの多くのソリューションで使用する一元化された
ポリシーと管理の環境です。マカフィーの継続的コンプライアンス向けソリューションでは、McAfee ePOは
統合ソリューションの管理とレポート作成のための中央ポイントとして機能します。McAfee ePOは、強力
なレポートエンジンとカスタムダッシュボードを提供し、継続的なコンプライアンス監視に理想的なフレーム
ワークを構築します。
6
継続的なコンプライアンス遵守の実現
オプション
• McAfee Vulnerability Manager:
Manager McAfee Vulnerability ManagerをMcAfee Policy Auditor
Plug-inの代わりに導入し、クライアント側エージェントモジュールをネットワークスキャナーとリプレース
できます。エージェントの導入が不可能、または望ましくない環境に適しています。例としては、マカフィー
エージェントがサポートされないシステムや、低いフットプリントが前提となるシステムなどがあります。
• McAfee Application Control:
Control McAfee Application Controlは、 McAfee Change Control上
に追加のセキュリティ機能を提供します。Application Controlは、サーバーまたはワークステーション
で実行されているソフトウェアのインベントリーを作成し、これらのバイナリーをホワイトリスト化(固定)
します。これにより、不正な追加のコードが固定されたシステム上で実行されることを阻止できます。
すべての形態の悪質なソフトウェアや不正なソフトウェアに対する効果的な制御になります。
導入効果
マカフィーの継続的なコンプライアンス向けソリューションは、変更に対する詳細な可視性と強力な制御
機能を提供することで、法規制監査の負担全体を軽減しながら、ビジネスのニーズに対応します。この
ソリューションがあれば、管理者はコンプライアンスステータスの詳細を頻繁に把握できます。監査の実行
頻度を多くすると、コンプライアンスの問題を早い段階で把握できるため、少しの労力で問題を解決できる
ようになります。監査時に大規模なプロジェクトとしてではなく、コンプライアンス期間全体を通じて継続的
に問題に対応することで、予測が可能になり、修復コストを削減できます。
もちろん、コンプライアンス違反への最善の対処方法は、違反をその場で許可しないことです。このソリュー
ションは、許可する変更を制御する優れた機能も提供するため、修復の必要性をさらに低減、あるいは
完全に排除できます。システムを「コンプライアンスゾーン」内に維持することにより、コンプライアンスの
再対応に必要な、数日あるいは数週間にわたる手動の繰り返し作業が不要になります。またこうした作業
を自動的なポリシーにリプレースできます。
マカフィーの継続的なコンプライアンス向けソリューションは、コンプライアンス要件を満たし、コンプライア
ンス違反を最小限に抑え、監査時にコンプライアンスを実証できるようにする包括的なフレームワークを
お客様に提供します。これらすべてを自動的に実行することで、IT監査における負担を大幅に軽減します。
Q&A
このソリューションのすべてのコンポーネントが必要ですか。
いいえ。マカフィーのソリューションはモジュール型で、各コンポーネントはそれぞれ異なる要件に対応しま
す。最初のソリューションとしては、Policy AuditorをMcAfee ePOを介して管理するのが最適です。組織
の成熟に合わせて、Change ControlやChange Reconciliationなどの追加モジュールを容易に追加
し、プロセスをさらに最適化することができます。
McAfee Change Reconciliation は、 Remedy 以外のチケッティングシステムをサポートしていますか。
はい。Change Reconciliationは、幅広いチケッティングシステムとの統合をサポートするオープンアーキ
テクチャーを採用しています。
継続的なコンプライアンス遵守の実現
7
追加情報
www.mcafee.com/japan/products/policy_auditor.asp
www.mcafee.com/japan/products/change_control.asp
www.mcafee.com/dbactivitymonitoring (英語)
www.mcafee.com/japan/products/application_control.asp
www.mcafee.com/japan/products/vulnerability_manager.asp
www.mcafee.com/japan/products/epolicy_orchestrator.asp
*本書は 2012 年 10 月時点での情報です。 仕様等の変更が生じる場合や、 一部、 日本未発売の製品も含まれています。
詳細はお問い合わせください。
著者について
Scott Taschlerは、マカフィーのシステムエンジニアで、15年にわたり、企業が最新の脅威を理解し、効果的に
対処できるように支援しています。マカフィー内では、幅広い組織と緊密に連携して、脅威環境の進化や、脅威に
対処するためにエンドポイントとネットワーク上でさまざまな技法を活用する方法を研究しています。Scottは、
Microsoft Patch Tuesdayに人気のあるマカフィーコミュニティブログを掲載しています。Scottは、ミネソタ大
学で電子工学の学士号を取得しています。また、認定情報システムセキュリティプロフェッショナルでもあります。
マカフィー株式会社
www.mcafee.com/jp
東 京 本 社
〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F TEL:03-5428-1100(代) FAX:03-5428-1480
西日本支店
〒530-0003 大阪府大阪市北区堂島2-2-2 近鉄堂島ビル18F TEL:06-6344-1511(代) FAX:06-6344-1517
名古屋営業所
〒460-0002 愛知県名古屋市中区丸の内3-20-17 中外東京海上ビルディング3F TEL:052-954-9551(代) FAX:052-954-9552
福岡営業所
〒810-0801 福岡県福岡市博多区中洲5-3-8 アクア博多5F TEL:092-287-9674(代) FAX:092-287-9675
McAfeeの英文/和文社名、各商品名、ロゴはMcAfee, Inc.またはその関連会社の商標または登録商標です。本書中のその他の登録商標および商標はそ
れぞれその所有者に帰属します。 2012 McAfee, Inc. All Rights Reserved. ●製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業
部までお問合せください。●製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。 MCABP-DCCM-1210-MC