日本版SOX法(J-SOX)については多くのシステム管理規定がありますが、特に「日本版」という事で注目されているのが、下記の「セキュリティ基本方針」という項目です。IT統制という項目自体が日本独自の規格ですが、これはコンピュータを利用している企業のセキュリティを守る為に必要な事であろうという日本側の認識により生まれた項目と言えます。
セキュリティ基本方針は10項目あり、各項目ごとにより細かく指導要領が規定されています。これらの項目のうち、項目7「アクセス制御」の7番目に「システムアクセス及びシステム使用状況の監視」という箇所がありますが、この部分についてが弊社製品「コンテンツウォッチャー」の対応している、つまり"日本版SOX法"に準拠したものとなっております。詳細につきましては次表をご覧頂き、ご確認ください。
| J-SOX 項目文面 | コンテンツウォッチャー対応 | |
| 7.7.1 例外事項、その他のセキュリティに関連した事象を記録した監査記録を作成して、将来の調査及びアクセス制御の監視を補う為に、合意された期間保存する事 |
→ | コンテンツウォッチャー実装により 1年以上のログ保管が可能 |
| 7.7.1.1 監査記録には、利用者IDを含める事 |
→ | 実装済み |
| 7.7.1.2 監査記録には、ログオン及びログオフの日時を含める事 |
→ | 実装予定 |
| 7.7.1.3 監査記録には可能ならば端末のID又は所在地を含める事 |
→ | 実装済み |
| 7.7.1.4 監査記録には、システムへのアクセスを試みて、成功及び失敗した記録を含める事 |
→ | 実装予定 (3月アップデータにて対応) |
| 7.7.1.5 監査記録には、データ、他の資源へのアクセスを試みて、成功及び失敗した記録を含める事 |
→ | 実装予定 (3月アップデータにて対応) |
| 7.7.2 情報処理設備の使用状況を監視する手順を確立する事 |
→ | 社内規定により文書化 |
| 7.7.2.1 個々の設備に対して要求される監視レベルは、リスクアセスメントによって決める事 |
→ | 社内規定により文書する |
| 7.7.2.2 監視項目には、認可されているアクセスについて、利用者IDを含む事 |
→ | 実装済み |
| 7.7.2.3 監視項目には、認可されているアクセスについて、その重要な事象の日時を含む事 |
→ | 実装済み |
| 7.7.2.4 監視項目には、認可されているアクセスについて、その事象のタイプを含む事 |
→ | 実装済み (プロトコル種別まで検知可能) |
| 7.7.2.5 監視項目には、認可されているアクセスについて、アクセスされたファイルを含む事 |
→ | 実装済み (ファイル名及び変更後ファイル名も検知可能) |
| 7.7.2.6 監視項目には、認可されているアクセスについて、使用されたプログラム・ユーティリティを含む事 |
→ | 実装予定 (拡張子ファイルにて対応) |
| 7.7.2.7 監視項目には、全ての特権操作について、監督者アカウントの使用の有無を含める事 |
→ | 実装予定 |
| 7.7.2.8 監視項目には、全ての特権操作について、システムの起動及び停止を含める事 |
→ | ファイルサーバ機能の為コンテンツウォッチャーとの相関性無し |
| 7.7.2.9 監視項目には、全ての特権操作について、入出力装置の取付け・取外しを含める事 |
→ | 実装不可 |
| 7.7.2.10 監視項目には、認可されていないアクセスの試みについて、失敗したアクセスの試みを含める事 |
→ | 実装予定 (3月アップデータにて対応) |
| 7.7.2.11 監視項目には、認可されていないアクセスの試みについて、ネットワークのゲートウェイ及びファイアウォールについてのアクセス方針違反及び通知を含める事 |
→ | ファイアウォール機器の機能の為相関性無し |
| 7.7.2.12 監視項目には、認可されていないアクセスの試みについて、侵入検知システムからの警告を含める事 |
→ | 一部実装済み (イエローカード機能) |
| 7.7.2.13 監視項目には、システム警告又は故障について、コンソール警告又はメッセージを含める事 |
→ | サーバでの対応のため相関性無し |
| 7.7.2.14 監視項目には、システム警告又は故障について、システム記録例外事項を含める事 |
→ | サーバでの対応のため相関性無し |
| 7.7.2.15 監視項目には、システム警告又は故障について、ネットワーク管理警報を含める事 |
→ | サーバでの対応のため相関性無し |
| 7.7.3 監視の結果は、定期的に見直す事 |
→ | 社内規定にて文書化及び変更 |
| 7.7.3.1 監視結果の見直しの頻度は、関係するリスクによって決める事 |
→ | 社内規定により決定 |
| 7.7.3.2 考慮すべきリスク要因には、業務手続に与える重要性の度合を含める事 |
→ | 社内規定により決定 |
| 7.7.3.3 考慮すべきリスク要因には、関係ある情報の価値、取扱いに慎重を要す度合又は重要性に関する度合を含める事 |
→ | 社内規定により決定 |
| 7.7.3.4 考慮すべきリスク要因には、システムへの侵入及び誤用の過去の経験を含める事 |
→ | 社内規定により決定 |
| 7.7.3.5 考慮すべきリスク要因には、システム相互接続の範囲 (特に、公衆ネットワーク)を含める事 |
→ | 社内規定により決定 |
| 7.7.4 システムが直面する脅威とそれらの起こり方を理解する為に、記録を検証する事 |
→ | 社内規定により実施 |
| 7.7.4.1 セキュリティの為の監視を目的とする重要な事象の識別を補助する為に、適切なメッセージタイプを予備の記録として自動的に複製する事 |
→ | 実装済み |
| 7.7.4.2 ファイルへ応答指令信号を送る適切なシステムユーティリティ若しくは監査ツールを使用することを考慮する事 |
→ | 実装済み |
| 7.7.4.3 記録の検証の責任を割当てる時、検証する者と活動を監視されている者との間で、役割の分離を考慮する事 |
→ | 社内規定により実施 |
| 7.7.4.4 記録機能のセキュリティに対して注意する事 |
→ | 実装済み |
| 7.7.4.5 管理策は、認可されていない変更及び運用上の問題から保護することを目標とする事 |
→ | 実装済み |
| 7.7.5 コンピュータの時計は正しく設定すること |
→ | 実装済み |
| 7.7.5.1 コンピュータ又は通信装置にリアルタイムの時計を作動する機能がある場合、合意された標準時(例えば、万国標準時(UCT)又は現地の標準時)に合わせる事 |
→ | 実装済み |
| 7.7.5.2 コンピュータ内の時計は、有意な変化があるかチェックして、あればそれを修正する手順がある事 |
→ | システム管理者権限により実施 |
上記の表の様に、弊社としましてはJ-SOXのIT統制項目、更にその項目のセキュリティ基本方針7.7について対応しているという事が現時点では正式な見解であると考えています。
上記以外についてのセキュリティ項目の開発、例えばバックアップやメール等に関するセキュリティ項目につきましても引き続き開発を進めています。
以下参考まで
経済産業省 Webサイト
パブリックコメント欄、平成19年1月19日付データより
| 1 | セキュリティ基本方針 |
| 1.1 | 情報セキュリティ基本方針 |
| 2 | 組織のセキュリティ |
| 2.1 | 情報セキュリティ基盤 |
| 2.2 | 第三者によるアクセスのセキュリティ |
| 2.3 | 外部委託 |
| 3 | 資産の分類及び管理 |
| 3.1 | 資産に対する責任 |
| 3.2 | 情報の分類 |
| 4 | 人的セキュリティ |
| 4.1 | 職務定義及び雇用におけるセキュリティ |
| 4.2 | 利用者の訓練 |
| 4.3 | セキュリティ事件 |
| 5 | 物理的及び環境的セキュリティ |
| 5.1 | セキュリティが保たれた領域 |
| 5.2 | 装置のセキュリティ |
| 5.3 | その他の管理策 |
| 6 | 通信及び運用管理 |
| 6.1 | 運用手順及び責任 |
| 6.2 | システムの計画作成及び受入れ |
| 6.3 | 悪意のあるソフトウェアからの保護 |
| 6.4 | システムの維持管理(Housekeeping) |
| 6.5 | ネットワークの管理 |
| 6.6 | 媒体の取扱い及びセキュリティ |
| 7 | アクセス制御 |
| 7.1 | アクセス制御に関する業務上の要求事項 |
| 7.2 | 利用者のアクセス管理 |
| 7.3 | 利用者の責任 |
| 7.4 | ネットワークのアクセス制御 |
| 7.5 | オペレーティングシステムのアクセス制御 |
| 7.6 | 業務用ソフトウェアのアクセス制御 |
| 7.7 | システムアクセス及びシステム使用状況の監視 |
| 7.7.1 | 例外事項、その他のセキュリティに関連した事象を記録した監査記録を作成して、将来の調査及びアクセス制御の監視を補うために、合意された期間保存する事 |
| 7.7.1.1 | 監査記録には、利用者IDを含める事 |
| 7.7.1.2 | 監査記録には、ログオン及びログオフの日時を含める事 |
| 7.7.1.3 | 監査記録には、可能ならば、端末のID又は所在地を含める事 |
| 7.7.1.4 | 監査記録には、システムへのアクセスを試みて、成功及び失敗した記録を含める事 |
| 7.7.1.5 | 監査記録には、データ、他の資源へのアクセスを試みて、成功及び失敗した記録を含める事 |
| 7.7.2 | 情報処理設備の使用状況を監視する手順を確立する事 |
| 7.7.2.1 | 個々の設備に対して要求される監視レベルは、リスクアセスメントによって決める事 |
| 7.7.2.2 | 監視項目には、認可されているアクセスについて、利用者IDを含む事 |
| 7.7.2.3 | 監視項目には、認可されているアクセスについて、その重要な事象の日時を含む事 |
| 7.7.2.4 | 監視項目には、認可されているアクセスについて、その事象のタイプを含む事 |
| 7.7.2.5 | 監視項目には、認可されているアクセスについて、アクセスされたファイルを含む事 |
| 7.7.2.6 | 監視項目には、認可されているアクセスについて、使用されたプログラム・ユーティリティを含む事 |
| 7.7.2.7 | 監視項目には、全ての特権操作について、監督者アカウントの使用の有無を含める事 |
| 7.7.2.8 | 監視項目には、全ての特権操作について、システムの起動及び停止を含める事 |
| 7.7.2.9 | 監視項目には、全ての特権操作について、入出力装置の取付け・取外しを含める事 |
| 7.7.2.10 | 監視項目には、認可されていないアクセスの試みについて、失敗したアクセスの試みを含める事 |
| 7.7.2.11 | 監視項目には、認可されていないアクセスの試みについて、ネットワークのゲートウェイ及びファイアウォールについての アクセス方針違反及び通知を含める事 |
| 7.7.2.12 | 監視項目には、認可されていないアクセスの試みについて、侵入検知システムからの警告を含める事 |
| 7.7.2.13 | 監視項目には、システム警告又は故障について、コンソール警告又はメッセージを含める事 |
| 7.7.2.14 | 監視項目には、システム警告又は故障について、システム記録例外事項を含める事 |
| 7.7.2.15 | 監視項目には、システム警告又は故障について、ネットワーク管理警報を含める事 |
| 7.7.3 | 監視の結果は、定期的に見直す事 |
| 7.7.3.1 | 監視結果の見直しの頻度は、関係するリスクによって決める事 |
| 7.7.3.2 | 考慮すべきリスク要因には、業務手続に与える重要性の度合を含める事 |
| 7.7.3.3 | 考慮すべきリスク要因には、関係ある情報の価値、取扱いに慎重を要する度合又は重要性に関する度合を含める事 |
| 7.7.3.4 | 考慮すべきリスク要因には、システムへの侵入及び誤用の過去の経験を含める事 |
| 7.7.3.5 | 考慮すべきリスク要因には、システム相互接続の範囲(特に、公衆ネットワーク)を含める事 |
| 7.7.4 | システムが直面する脅威とそれらの起こり方を理解するために、記録を検証する事 |
| 7.7.4.1 | セキュリティの為の監視を目的とする重要な事象の識別を補助する為に、適切なメッセージタイプを予備の記録として 自動的に複製する事 |
| 7.7.4.2 | ファイルへ応答指令信号を送る適切なシステムユーティリティ若しくは監査ツールを使用する事を考慮する事 |
| 7.7.4.3 | 記録の検証の責任を割り当てる時、検証する者と活動を監視されている者との間で、役割の分離を考慮する事 |
| 7.7.4.4 | 記録機能のセキュリティに対して注意する事 |
| 7.7.4.5 | 管理策は、認可されていない変更及び運用上の問題から保護することを目標とする事 |
| 7.7.5 | コンピュータの時計は正しく設定する事 |
| 7.7.5.1 | コンピュータ又は通信装置にリアルタイムの時計を作動する機能がある場合、合意された標準時に合わせる事 (例えば、万国標準時(UCT)又は現地の標準時) |
| 7.7.5.2 | コンピュータ内の時計は、有意な変化があるかチェックして、あればそれを修正する手順がある事 |
| 7.8 | 移動型計算処理及び遠隔作業 |
| 8 | システムの開発及び保守 |
| 8.1 | システムのセキュリティ要求事項 |
| 8.2 | 業務用システムのセキュリティ |
| 8.3 | 暗号による管理策 |
| 8.4 | システムファイルのセキュリティ |
| 9 | 事業継続管理 |
| 9.1 | 事業継続管理の種々の面 |
| 10 | 適合性 |
| 10.1 | 法的要求事項への適合 |
| 10.2 | セキュリティ基本方針及び技術適合のレビュー |
| 10.3 | システム監査の考慮事項 |