NTTコムウェアビジネスインテグレーション部総括（パートナー営業）

毎週発行されているパートナーNewsより選り抜きの記事をご紹介！

2006年7月27日

第三回　『セキュリティポリシー』

● ＳＯＸ法とセキュリティポリシー
● 個人認証方式

■ セキュリティポリシー

前回はSOX法が制定されることによるITに及ぼす影響について、米国での事例と日本におけるSOX法制定後の影響について解説を致しました。日本版SOX法で規定を行なう構成要素のうち、「ITの利用」の部分については、ISO17799で規定を行なうセキュリティポリシーの規定要素にダブってくる部分が多いです。今回から複数回に渡ってセキュリティポリシーの規定要素について記述いたします。

● ＳＯＸ法とセキュリティポリシー

セキュリティポリシーというと狭い意味では、ファイアウォールのポートの開け閉めからPC機能の不必要部分の隠蔽など、多岐に渡っておりますが、ここでは広義のセキュリティポリシーの策定について解説をさせていただきます。但し、コンセプチャルなポリシー策定だけでは全く意味がなく、システム的なインプリメンテーションを意識し、またその理想像と現状システムとの移行方式も含めた検討が必要となります。
上記を行なうことにより、日本版SOX法の「ITの利用」構成要素を満足していけると考えております。SOX法対応との共通部分として以下の３項目の規定が必要と考えております。

(1) 利用者の特定と監査
・個人認証方式
・ログ管理方式
・オーディット方式

(2) アクセス制御
・ネットワーク上のアクセスコントロール
・システム構築上のアクセスコントロール
・外部接続方式

(3) システム構築
・可用性／冗長性／拡張性
・アプリケーション構築手法

その他セキュリティポリシーでの規定が必要な維持／運用に関して以下の２項目の規定が必要と考えております。

(4) セキュリティ運用維持
・ウィルス／不正侵入防御方式
・稼動監視と障害管理

(5) システム運用
・外部委託とアウトソーシング
・システム改版時の標準化

上記１２項目のシステムインプリメンテーション上の策定に対するポイントを今回から解説をしていきます。

● 個人認証方式

個人認証とは、本人しか持ち得ない属性を基に、その属性から個人を特定し、資源にアクセス(ログイン)する行為に対し、その資源が利用すべき人(許可された人)に正しく利用されているかの、システム的な識別に使われます。
基本的には、今後の新規システムを対象としたスタンダード(全社共通)認証方式を策定し、現在使用中のシステムの内、スタンダード以外はアプリケーションが固有にサポートする認証機能の利用を継続するが、順次スタンダード化への移行を検討する必要があります。

個人認証基準では、使用者の利便性との兼ね合いを考慮しないと例外が多くなり、却ってセキュリティ防御が甘くなるという事態を招きかねません。また、セキュリティが破られて蒙るリスクと、セキュリティ防御のためのコストとの兼ね合い（バランス）が重要です。

採用すべき認証方式の決定には、認証を必要とするユースケースのうち、以下の条件を考慮する必要があります。

・使用者の利用場所
・使用者の利用時間
・使用者の職権範囲
・アプリケーションの特性
・端末の利用形態

以上の条件の組み合わせにより、実際使用する認証方式を決定する必要があります。個人認証媒体、暗号化方式、認証データの保存場所にて最適な方式を採用します。

個人認証媒体としては以下の３種類があります。

・生体認証：個人の身体的特徴を利用するもの
・メディアを利用するもの（ICカード、磁気カード、USBキー等）
・単純なユーザＩＤの使用

このうち、生体認証とは体の特徴のうち個体でユニークとなるパターンをとらえて、個人を特定するものです。生体認証では、メディアを利用する認証や単純なユーザＩＤによる認証とは違って、決して他人では使用することができず、紛失や盗難による被害をもたらさないという点で強みを発揮します。また、生体認証を使用する場合は、パスワードを使わないためパスワードの記憶という人的能力の問題や、定期的な変更等の運用の問題がありません。当然パスワードの漏洩もありません。利用者に負担の少ない個人認証を高セキュリティの元で実現することができ、理想的な個人認証が実現できます。

なお、生体認証を現実的に使用するためには、誤認証や登録拒否がないということが最重要になります。特に登録拒否（指紋認証などで指紋に特長が無いということで認証システムに登録を拒否される利用者が存在すること）がある場合は、当該利用者だけのために特殊な認証（パスワードを入れる等）を強いられ、それがセキュリティホールになったり、当該予備方式のための設備投資が発生し本末転倒な結果が懸念されます。そういった面では、『e-UBF』については、誤認証や登録拒否の心配がありません。

更に、『e-UBF』は指紋認証方式が持っている残留指紋の問題もクリアし”指紋押捺”による利用者の心理的な負担、人道的な問題への対処も出来ていますので理想的な生体認証のソリューションとなります。

なお、使用者側の利便性という面では、使用する全てのシステムのシングルサインオンが実現できるというのが理想ですが、以下の面の検討が必要です。

・現状のシステムにおける認証方式との整合性、移行方式
・HRシステム（人事管理システム）との連動方式

コラム・タイトル一覧
第二回　『ＳＯＸ法がＩＴに及ぼす影響』　←	→　第四回　『セキュリティポリシー：利用者の特定と監査』(1)