コンプライアンスの証明

コンプライアンスは、法令や企業倫理等の遵守により、適正な事業活動を行うことです。守るべき規則は業種や業態により異なりますが、規則を守る上で共通する重要なポイントは、以下の3点ではないでしょうか。

1. コンプライアンスをどのように達成するか。
2. コンプライアンスをどのように維持するか。
3. コンプライアンスをどのように証明するか。

組織や企業が達成すべきコンプライアンスの中には、ITシステムのコンプライアンスがあります。例えば、J-SOXのIT統制を遵守することによって、業務を安全かつ確実に遂行するための仕組みを確立するとともに、ITシステムの健全性を明らかにします。

昨今、組織や企業の重要なITシステムが守るべき最新のセキュリティ基準として、様々なセキュリティ・ポリシーが策定されています。それらのセキュリティ・ポリシーを遵守し、かつ日々の運用の中でコンプライアンス・レベルが下がらないように監視する機能をTripwire Enterpriseは提供します。これにより、コンプライアンスを維持し、常にコンプライアンスを証明します。

セキュリティ・ポリシーを遵守することは、容易なことではありません。そこには2つの難しさがあります。

1. セキュリティ・ポリシーを適応する難しさ
2. セキュリティ・ポリシーを適応した後、常に維持していく難しさ

セキュリティ・ポリシーを適応する際、セキュリティ基準を理解し、対象サーバへ適応する計画を綿密に立て実行に移すといった作業が必要になります。セキュリティ基準によっては、監視対象のOSや機器ごとに100を超えるポリシーが存在しています。また、監視対象のサーバ台数が数十台、数百台と多くなってくると、その対応には大きな人的／時間的なコストが掛ります。

更に難しいのはコンプライアンスのレベルを保つことです。日々の運用や保守作業の中で、システムやアプリケーションに変更が入ることにより、知らない内にセキュリティ基準から外れた環境になってしまう可能性があります。実際、マニュアル対応にてコンプライアンスのレベルを保ち続けるのは限界があります。

Tripwire Enterpriseは複数のセキュリティ基準に対するポリシー・テンプレートを提供（ダウンロード提供）し、迅速なポリシー適応（コンフィグレーション・アセスメント）をサポートします。また、セキュリティ基準の変更に沿って、ポリシー・テンプレートのアップデートを行っておりますので、最新のポリシーをお使いいただけます。

コンプライアンス案件において、最も大切なことは、コンプライアンスのレベルを維持していくことではないでしょうか。もしそうでなければ、セキュリティを高めるという本来の取り組みではなく、セキュリティ基準を遵守した（ある一時期）ということを認定してもらうためだけの活動になってしまいます。

Tripwire Enterpriseは様々なポリシー・テンプレートをご提供することにより、ポリシーへの迅速な対応をサポートします。ポリシー・テンプレートを監視対象に最初に適応することを、ポリシーテストと呼びます。ポリシーテストの結果として、ポリシーに対応できている項目、未対応の項目を参照することができます。未対応の項目に対してどのように対処していけば良いのか、という地点からポリシー適応の検討と作業を始めることができます。

ポリシーの適応により、達成した高いコンプライアンスのレベルを、Tripwire Enterpriseが維持します。日々の運用の中で、セキュリティ・ポリシーに違反する箇所（設定）が発生したら、管理者の方にアラートをあげます。レメディエーション機能などを利用して迅速に修復することにより、常にコンプライアンスのレベルを保ち続けることができます。