(株)アズジェントは18日、国際規格に沿ったセキュリティーポリシーを策定し、企業や組織が必要とする強度の高いセキュリティー体制の構築・運営を支援するソフト『M@gicPolicy Ver.2.0』(マジックポリシーバージョン2.0)を発表した。発売は2月の予定。同製品は、同社が2000年6月に発足したビジネスアライアンス“セキュリティポリシーアライアンス”に加入している企業にのみ提供する。価格は非公開。同アライアンスはこれを利用して、企業や組織にセキュリティーポリシーの策定をサポートするサービスを提供する。料金は200万円から。
 |
|---|
| 『M@gicPolicy Ver.2.0』(画面は開発中のもの) |
セキュリティーポリシーとは、企業や組織内のセキュリティーにおける基本的な方針や行動指針のこと。たとえばファイアーウォールの設置や、ユーザーのアクセス権限の決定などの際に、設定のよりどころとなるのが、組織のセキュリティーポリシーとなる。近年、インターネットを利用した電子商取引などが実用段階に入ってきたが、多くの企業や組織がとっているセキュリティー対策は、現状ではアンチウイルスやファイアーウォールなどのソフトの導入に止まっていることが多く、同社代表取締役社長の杉本隆洋氏によれば「玄関には鍵がかかっているが、裏口には鍵がない状態」という。同社は、脅威を未然に防ぐためには、ファイアーウォールなどの技術的な分野だけでなく、関係者以外のサーバールームへの立ち入りを禁ずるなどといった非技術的な対策も含む、セキュリティーポリシーの策定と運用が必要であるとしている。
 |
|---|
| 同社代表取締役社長の杉本隆洋氏 |
セキュリティーポリシーを策定する上での基準は、英国の規格である“BS7799”のパート1が、国際標準化団体のISOによって“ISO/IEC17799”を付与され、認証制度としてパート2の整備も進んでいるなど世界標準の位置づけを確立しつつある。国内でも、このBS7799を日本語化した“JIS X5080”の整備や、認証制度“情報セキュリティマネジメントシステム(ISMS)適合性評価制度”のパイロット運用が、2001年10月に始まっている。
同製品は、BS7799をはじめとして“ISO 15048”や“GASSP”、“GMITS”や“COBIT”など、複数のグローバルガイドラインに対応したセキュリティーポリシー策定ツール。企業が属する業種などの属性の選択、ポリシーの策定範囲などのさまざまな条件やアプローチでポリシーを策定できる。策定したセキュリティーポリシーの適合性認証を受ける際に必要なドキュメントの作成も行なえる。また、策定後の部分的な修正などにも柔軟に対応できるという。
 |
|---|
| 『M@gicPolicy Ver.2.0』の操作画面(画面は開発中のもの) |
同製品は、特徴的な機能として“API機能”を搭載している。これは、策定したポリシーを市場で販売されている各種のセキュリティー製品に適用するために、策定したポリシーに基づくルールをスクリプトとして書き出して設定を行なえるというもの。サポートする製品は、ノキア・ジャパン(株)のファイアーウォール/VPN製品“ノキアIPセキュリティ・シリーズ”で、今後、他のベンダー製品にも対応していくとしている。
 |
|---|
| セキュリティーポリシー策定までの過程 |
同製品を利用したセキュリティーポリシー策定のサービスは、セキュリティポリシーアライアンスに加盟しているSI会社が、企業からの依頼で成果物を納入する。SI会社は企業の経営者や各部門の管理者に対してインタビューを行ない、その結果を同製品に入力、同時にインタビューの矛盾の調整や、企業情報の収集と入力、およびリスク分析を行ない、最終的なセキュリティーポリシーを策定する。策定の後には、具体的なセキュリティー管理体制の運用と保守もサポートするという。
同製品は、インタビューの際に質問事項を整理するためなどに用いるクライアントと、これを統合してセキュリティーポリシーの策定を行なうサーバーとに分かれている。サーバーソフトの動作環境は、Celeron-800MHz以上、256MB以上のメモリーと、10GB以上のHDD。対応OSはWindows NT 4.0/2000/XP、Solaris 8、Linux(Red Hat Linux 7.1)で、対応データベースは、Oracle 8(UNIX版/Windows版/Linux版)、Oracle 8i Personal Edition R8.1.7(UNIX版/Windows版/Linux版)、MySQL(Windows版)、MySQL(Linux版)、PostgreSQL(Linux版)。対応するHTTPサーバーは、Apache 1.3とIISとなっている。クライアントの動作環境は、Celeron-300MHz以上と、256MB以上のメモリー、5GB以上のHDD。対応OSはWindows 98/Me/2000 Professional/XP Professionalで、対応データベースはOracle 8(UNIX版/Windows版/Linux版)、Oracle 8i Personal Edition R8.1.7(UNIX版/Windows版/Linux版)、MySQL(Windows版)、対応ブラウザーはInternet Explorer 6となっている。
同社取締役技術本部長の駒瀬彰彦氏は「企業でセキュリティーを整備するとき、社内のネットワーク管理者と経営者の間で言葉が通じず、結局一部のみの整備に止まってしまうことも多い。同製品はレポートの出力機能も備えているため、セキュリティー運用のために具体的にどういうことをするのかも伝えやすい。これによって、国内全体のセキュリティーに対する意識の向上を図りたい」としている。
