- 監査レポート・変更管理ソリューションNetWrix ホーム
- ITシステムの変更管理が必要な理由
組織のITサービスに起こる重大な問題のうち、およそ90%がシステムの不正な変更に起因すると言われています。また、故意ではなくとも誤った変更が行われる可能性も無視できません。2010年の個人情報漏えい原因の統計によると、約38%が「誤操作」を原因とするものであり、「管理ミス」も30%を占めていることがわかります。ヒューマンエラーや管理不足は、セキュリティ面において重大なビジネスインパクトをもたらす可能性が高いと言えます。
こういったリスクを軽減するための手段として「変更管理」が存在します。変更管理とは、システム変更の際の手順や承認の仕方、また万が一誤りがあった場合の修正方法などをあらかじめ定めておき、そのルールに則って変更の管理・実行を行っていくことです。この変更管理が実施されていれば、システムの変更による組織への悪影響を回避できる可能性が大幅に高まります。
たとえば担当者がシステムの設定変更を行い、その内容に誤りがあるまま変更が反映されてしまった結果、その組織が提供するITサービスに不具合が発生。原因解明などに手間取り、復旧までに大幅な時間を要して多額の損失を出してしまった、というようなケースが考えられます。こういった場合にも、事前に変更管理のルールを定めていれば、変更内容を第3者がチェックすることでヒューマンエラーを防ぐことができたり、明確な変更の復旧手順により迅速なシステム復旧が可能になるのです。
PCI DSSやHIPAA、COBITなど、組織のセキュリティ基準として多くのフレームワークが存在しています。これらの法令はそれぞれクレジットカード情報や医療情報向けに策定されるものですが、具体的・定量的なセキュリティ施策が記されているため、近年ではそれらの業種に関係のない組織でも、これらの法令に沿った経営・運用を行う組織が増加しています。また、IT運用におけるベストプラクティスの集約として「ITIL」があります。ITILによれば、変更管理のプロセスとして変更内容の評価や承認の制度、また変更実行の際の手順についてもルールを設けて、それらを遵守すべきとされています。
これらのフレームワークに準拠することで、組織内部のセキュリティやシステム運用が強固なものとなることはもちろん、外部に対してもコンプライアンス対応を行っているという面で組織の信頼性のアピールにつながります。IT関連の法令整備が進む今、それらへの準拠という課題が新たに表出してきており、組織はコンプライアンスへの対応を求められているのです。
ユーザーの変更管理への意識
では、変更管理の必要性について実際の組織ではどのように考えられているのでしょうか。セキュリティ対策やコンプライアンス対応という意味合いで、ユーザーも様々な場面で変更管理の必要性を感じています。たとえば、ユーザーアカウントの作成や削除が管理者の目が届かないところで行われていた場合、不正なアカウントの使用などを見過ごすことになり、組織のセキュリティが脅かされることとなります。また、日々発生するシステムの変更に対して、管理者がひとつひとつチェックしていくという作業は効率的とは言えません。
さらにファイルサーバーへのアクセス状況の把握やコンプライアンスなど、対応するには業務負担が大きく結局現状のまま…というケースが多いようです。日頃から業務量が多くなりがちなITシステムの管理者・担当者にとっては、変更管理をいかに手間や負担を少なくして行っていくかが重要となってきます。
NetWrix Change Reporter Suiteで変更管理をスムーズに
NetWrix Change Reporter Suiteは、システムの変更管理や内部統制の実行に役立つ変更管理ソリューションです。システムに加えられた変更やアクセスのログを収集し、レポートとして出力することができます。
これまで、ユーザーがシステムへの変更内容やアクセス状況を確認する場合は、ログ収集ツールですべてのログを調べるなどの手間と時間が必要でした。しかしNetWrix Change Reporter Suiteを使えば、変更時やアクセス時のログだけをレポートとして整理し、出力することができるので、ユーザーの負担は大幅に軽減されます。また、レポートはスケジューリング機能を使って自動的・定期的に作成することが可能なので、特に意識することなく管理を行うことができるのです。
また、レポートのカスタマイズを利用すれば、ユーザーが必要とする情報だけを記載することができるので、セキュリティフレームワークへの準拠に関しても少ない負荷で行うことができます。代表的なセキュリティフレームワークの内容と、それに合わせたNetWrix Change Reporter Suiteの活用方法をご紹介します。
| フレームワーク | 内容 | NetWrix Change Reporter Suiteの 活用方法 |
|---|---|---|
| HIPAA 164.308(a)(1)(ii)(D) | 情報システムにおけるアクティビティを定期的に検証するための手段を導入する(監査ログ、アクセス・レポート、セキュリティ・インシデント追跡レポートなど)。 | システムへの変更やアクセスの状況を監査・ロギングしてスナップショットとして保存します。そのログを精査してレポートとして出力し、ユーザー側で管理することで、情報システムにおけるアクティビティを定期検証することができます。 |
| PCI DSS 10.6.a | 少なくとも日に一度、すべてのシステムコンポーネントのログを確認する。ログの確認には、侵入検知システム(IDS)や認証、認可、アカウンティングプロトコル(AAA)サーバ(RADIUSなど)のようなセキュリティ機能を実行するサーバを含める必要がある。 注: 要件10.6に準拠するために、ログの収集、解析、および警告ツールを使用できる。 | レポート出力の頻度や日時を設定可能なスケジューリング機能を使用することにより、日次レポートの作成と確認が可能です。 |
| COBIT AI6.4 | IT マネジメントは、緊急を要する変更を定義するパラメーターとこれらの変更を制御する手順を確立する必要がある。 | システム変更の監査レポートの提出というルールを設けることで、不正な変更や予期しない変更の制御またはそれらへの抑止力として活用することができます。 |
