20100617 seminar

© 2010 NANAROQ Inc.

The information contained herein is subject to change without notice

NANAROQ UCF を活用したPCIDSS 対策

NANAROQ INC.

2010/6/17

© 2010 NANAROQ Inc. 2

1 部： NANAROQ UCF のご紹介

2 部： GRC とは

休憩

3 部：個別コンプライアンス認証取得から統合コンプライアンスへ

UCF デモ

質疑応答・個別対応セッション

本日の内容

13 時～ 13 時 20 分

13 時 20 分～ 13 時50 分

13 時 50 分～ 14 時

14 時～ 14 時 40 分

14 時 40 分～ 14 時50 分

14 時 50 分～

～ UCF を活用し PCIDSS 認証サービスに付加価値を


NANAROQ のご紹介

１部： NANAROQ UCF のご紹介１部： NANAROQ UCF のご紹介　（代表取締役社長　佐々木慈和）


NANAROQ 　会社概要ナナロクカブシキガイシャ

NANAROQ 株式会社（旧 Frontier X Frontier 株式会社）会社名

本社：千代田区九段北 1 － 1 － 5 第二中央ビル 7 Ｆ伊江島研究所（通称イエラボ） : 沖縄県国頭郡伊江村字東江前 460

－ 1

住所

UCF 事業 GRC コンサルティング事業 GDS （グローバルデリバリーサービス）等

事業内容

2005 年 3 月 1 日（ 2009 年 12 月 1 日商号変更）設立

事業事例

日本カード情報セキュリティ協議会日本クラウドセキュリティアライアンス

外資系小売りチェーン店様 PCI DSS 導入コンサルティング外資系生命保険会社様コンプライアンス全般コンサルティン

グ

連絡先

http://www.nanaroq.com/Mail: [email protected]: 03-6804-6260Fax: 03-6804-6261

加盟団体


イエラボ　－　沖縄県伊江村とは


NANAROQ のビジョンNANAROQ は複雑な企業のコンプライアンス対応をシンプルにし、効率的なコンプライアンス対応・セキュリティ強化を実現します

コンプライアンスにおける無駄の排除

変化するコンプライアンスへの

継続的な順守

ビヨンドコンプライアンス（セキュリティ強化）

効率化

セキュリティ強化

実現すること


NANAROQ の主な事業NANAROQ は企業のコンプライアンス対応を効率化・簡素化・強化するための基礎エンジンとなる「 UCF 」の提供を主なビジネスとしています。

UCF 事業

GRCコンサルティング

事業

企業のコンプライアンス対応を効率化・簡素化・強化するための基礎エンジンとなるフレームワーク「 UCF 」の提供

（※ UCF に関する説明は後述）

コア事業

GRC （ガバナンス・リスクマネジメント・コンプライアンス）に関するコンサルティングサービスの提供

•統合コンプライアンス導入コンサルティングサービス

•PCIDSS コンサルティングサービス

•JSOX コンサルティングサービス

•その他各種コンプライアンスコンサルティングサービス


NANAROQ のコア事業　 -UCF 事業モデルのご紹介NANAROQ は UCF 考案者である NetworkFrontiers 社と共同で、 “ UCF” を開発しています。様々な法規制に対応を求められるユーザー様向けに UCF をご提供しています。また UCF を自社ビジネスに活用したいお客様にもUCF を提供しています。

法規制A

法規制B

法規制C

法規制D

法規制E

順守

要求

NANAROQNetworkFrontiers

UCF 考案者

販売パートナー

製品ベンダー

XXX 社

コンサルティング会社

コンサルティングサービス化

コンプライアンス製品・ツール販売

コンサルティングサービス販売

製品・ツールへのUCF組込

XXX 社

XXX 社

UCF営業

UCF販売UCF卸

UCF販売

XXX 社

UCF販売

パートナー事業

ユーザー様

法規制F


UCF とは


UCF の基本となる考え方（最適化）各法令の要求事項には重複があります。それを整理することにより、必要最小限の労力で、複数のコンプライアンスに対応が可能となります。

要求事項の重複整理（イメージ）

JSOX ISO 個人情報保護

要求 1要求 2

要求 3要求 4

要求 5要求 6

要求 1要求 2要求 3

要求 4

要求 5

要求 6 要求 1

要求 3

・・・

要求 1

要求 3

要求 4要求 5要求 6

要求 7

要求 2

要求 2

・・・

要求 1要求 2

最適化された要求事項JSOX

ISO

個人情報保護

・・・

最適化後

要求 1要求 2要求 3・・・

要求 3・・・

要求 A要求 B要求 C・・・

最適化前

IT戦略

監査・リスク管理

運用監視

・・・

言い回し等が異なるが、各法令で重複した要求が多数存在

要求事項を体系的に整理。全体の要求事項の数が大幅に削減

各法令に個別に対応するため莫大な数の要求への対応が必要


UCF （ Unified Compliance Framework ）とは

IT 統制

：約2600*

コンプライアンス数：約400

最適化

業界別規定（ PCIDSS 等）

証券取引所上場規定

官公庁ガイドライン（総務省 /金融庁）

法令（ J-SOX/ 個人情報保護法等）国際規格（ ISO/TIL 等）

業界ガイドライン

システムコンフィギュレーションガイドライン　

・・・

監査法人 /QSA 等

経営陣 /管理者層

内部監査人 /スタッフ

社内

社外

UCF （エクセルシート）

詳細情報

リンク

*2010 年 3 月時点（四半期毎に更新）

最適化された要求事項に対する統制をひとつのエクセルシート（ UCF ）で管理することにより、お客様は１枚のエクセルシートで全てのコンプライアンス業務への対応を実現可能です。


UCF のカテゴリUCF は、膨大な要求事項を体系的に 13 のカテゴリに整理し、対応する統制を定義しています。

12

01-IT戦略とリーダーシップ

04- テクニカルセキュリティ

06- システム継続性

02-監査とリスク管理

03-監視と計測

05-物理的・環境的保護

07-人材管理

08-運用管理

09- 設定管理

10-記録管理

11- アプリケーション設計と実装

12-技術とサービスの獲得

13- 情報やデータのプライバシー保護

組織戦略に合わせた、情報やシステムの分類定義、システムコンプライアンスフレームワークの確立、ハイレベルの IT戦略の策定を行います

強固なアクセスセキュリティを実現するために、ネットワークアクセスポイント管理、 OS アクセス管理、情報フローの制御、リモートサクセス管理、暗号化管理、侵入検知等を確立します

システム継続性を担保するために、システム継続性フレームワークの維持、継続性戦略・計画の策定、代替手段の準備等を行います。

内部監査やリスクマネジメントチームの確立、監査の実施、報告等における統制を確立します

コンプライアンスにおける必要な証拠を収集するための、監視やログオペレーションを確立します。（リスク、システムパフォーマンス、コンプライアンス状況の監視と報告等）

IT施設、 IT 資産の物理的セキュリティ、 IT機能を維持するために、環境に関する統制を確立します

強固な IT組織を維持するために、雇用、トレーニング、ジョブディスクリプション定義、人事評価等の社内の統制やサードパーティ活用に関する統制を確立します

運用における役割と責任、ヘルプデスク運用、強固な IT 設定の維持、キャパシティ管理等、日々の IT運用に係る統制を確立します

ハードウェアやソフトウェアの設定に関する統制を確立します

全てのシステムにおけるコンピューター化されたレコードに関する統制を確立します。（レコードの検索プログラムの確立等を含む）

開発されたソフトやシステムのセキュリティを担保するために、設計から導入まで全てのプロセスにおける統制を確立します

新しいハードウェア・ソフトウェアを取得する際に必要な統制を確立します。（取得時の保証 /コスト /ライセンス /テストに関する統制等）

個人情報の収集における制限、情報利用に関するルール、情報のセキュリティを担保を確立します

55

160

90

68

235

87

55

227

865

96

119

25

547

UCF 統制項目数

2,656


（参考） UCF のイメージ

UCFIT 統制

法規制

UCF の統制項目に対応する法令の条項

イメージ


UCF の実現すること –法規制対応効率化

NANAROQ UCF はお客様のコンプライアンス対応における「ムダ」を排除します。

複数の法令 /規制等に対して、同時にコンプライアンスを主張できます

⇒不要なレポート作成業務の廃止（自動化 *1 ）

コントロールに関する詳細や関連する法令原文を容易に参照可能です

⇒法令調査・分析業務の自動化

業界別規定（ PCIDSS 等）

証券取引所上場規定

官公庁ガイドライン（総務省 /金融庁）

法令（ J-SOX 等）

国際規格（ ISO/TIL 等）

業界ガイドライン

システムコンフィギュレーションガイドライン　

・・・

監査法人 /QSA 等

経営陣 /管理者層

内部監査人 /スタッフ

社内

社外

UCF

詳細情報

リンク

ポリシーポリシーポリシーポリシー× ×整理

400以上もある複雑な法令の類似した要求事項を一つにまとめます

⇒管理すべき IT 統制項目の削減

*1:GRCツールの併用を推奨いたします

社内のコンプライアンス文書における重複、それによる矛盾を明確化できます

⇒不要な文書類の廃止


法令対応状況

統制タイトル PCIDSS

ISO27002CobiT ・・・アクセス管

理 B監視と測定 10.1監視やログ生成オペレーションの確立 10.6.1ME1.1

キーとなる監査/ログコンセプトの採用測定方法の確立

トレーサビリティの担保システム時刻の同期 10.4 10.10.6 YユーザーIDの記録 10.3.110.10.1正確な日付と時刻の記録タイムスタンプの記録 10.3.310.10.1 Yイベントタイプの記録 10.3.210.10.1 Y

ログイン/ログオフの成否 11.5.1 Yユーザー認証における変更ユーザーID/ポートのブロック

・・・

テクニカルセキュリティ・・・ Y

・・・ Y

UCF の実現すること –新規法令発令時対応の効率化新しい法令や基準が制定されると、 UCF シートに条項がマップ *1されます。お客様は、調査等をする必要がなく、新規法令のうち対応が必要な項目を簡単に把握できます。

*1 ：四半期毎に更新

更新箇所

1.1

1.2

1.3

2.1

2.2

3.1

3.2

新法 A

Y

Y

Y

新規法令順守のために対応が必要な項目（７→４へ削減）

＜ケース＞ある企業が PCIDSS 、 ISO27002 、 Cobit の要求事項に対応していた。新法令 A の発令に伴い新規対応を求められた。

イメージ


UCF の実現すること – IT 統制運用における目指すべき姿

UCF の導入により、 IT 統制の運用コストを削減します。

年度Y1Y0 Y2 Y3 Y4 Y5 年度Y1Y0 Y2 Y3 Y4 Y5

各年のコスト

削減効果

各年のコスト

削減効果コンプライアンス

対応費用

新規コンプライアンス対応コスト

既存コンプライアンス運用コスト

現状（ AS-IS ） UCF 導入により実現すること（ TO-BE ）

不明瞭な法規制対応コストだが実は継続的に増加している

① 新規法令対応時に膨大な単発コストの発生（定期的に発生）

② 管理項目・ IT 資産等の不要な増加による運用コストの増大

ムダ排除・定期的な新規コンプライアンス要求にも必要最低限で対応し運用コストは安定

① UCF 導入による管理項目の削減による運用コストの削減

② 新法規制対応時の単発コストの最小化

③ 法令追加後も継続的な UCFベースでの管理により不要な運用コスト増の防止

UCF 導入コスト

法規制対応コストイメージ法規制対応コストイメージ

①①

②②

① ①② ②

③ ③


UCF の実現すること – IT 統制強化（最適なチェックリスト定義）

お客様は様々な業界・団体の要求事項を網羅した 2600 の統制から自社の統制項目を選定できます。目的に沿った最適な IT 統制項目を定義し、セキュリティの強化に活用できます。

IT 統制チェックリスト（例）

企業の達成するセキュ

リティレベ

ル

高

低

クレジットカード業界

銀行業界

保険業界

政府

規格団体（ ISO 等）

・・・

統制選定の視点

•業界で必要な法規制類を網羅するように選定

•自社が順守すべき /したいコンプライアンスベースで選定

•強化したいカテゴリ（例：事業継続）部分の統制項目を多数選定

約 2600項目

UCF 全項目対応（ 2600 ）

特定のコンプライアンス

（ 150 ）

業界系コンプライアンス網羅

（ 300 ）

コンプライアンス +カテゴリ強化

（ 200 ）

業界ベース

コンプライアンスベース

カテゴリベース

×

×


UCF 考案者のご紹介


UCF の考案者

◆ UCF の考案者Network Frontiers LLC （ IT コンサルティングファーム）と Latham & Watkins LLP （世界的な法律事務所）が協働でフレームワークを開発

◆ 2009 年ガートナーリスクマネージメント＆コンプライアンス部門にてクールベンダーとしてノミネート

◆ Network Frontiers LLC のホームページURL ： http://www.netfrontiers.com/

◆ UCF サイト（ US ）へのリンクURL ： http://www.unifiedcompliance.com/

UCF は、アメリカの Network Frontiers 社（ IT コンサルティングファーム）と世界的な法律事務所が共同で開発しました。

UCF サイトトップページ


UCFパートナー

アメリカにおいては、既に多くの企業が UCF を導入しています。また、 UCF を利用した製品やサービスが多数開発されています。


UCF サービス提供体制

アメリカ

NANAROQ　　　 Network

Frontiers

日本

US/International法令対応

品質管理

Japan法令対応

NANAROQ は、 Network Frontiers 社とインターナショナルパートナーシップ契約を締結し、協働により UCF サービスを提供しています。

InternationalPartnershipAgreement

Law Specialists*1

・・・

IT Specialists(CSAホルダー

等 )

・・・

※1:Latham & Watkins 法律事務所より

マップ

レビュー

Law Specialists

・・・

IT Specialists(CSAホルダー等 )

・・・

マップ

レビュー

主な役割

日本語化

品質管理


• GRC の定義• GRC の課題と理想• GRCツール市場• GRCツールの課題• 　次のステップ

2 部： GRC とは　（ディレクター　ラスカウスキー照美）


まず最初に ... Enron, Worldcom, livedoor...

Source: Atlas’s Renaissance, http://atlasapple.wordpress.com/


GRC の定義

• Governance （ガバナンス）トップダウンの経営アプローチ。情報と内部統制フレームワークを用いて組織を把握して、適切な経営判断を行い、ステークホールダーに対して透明性を保つ。

• Risk Management （リスク管理）ビジネスリスクを低減する。ビジネス目標・目的に対してのリスクを把握し、影響を分析して、タイムリーな行動を取る。

• Compliance （コンプライアンス）法令順守。企業が順守するべき法令、基準、規制を明確にして、現状とのギャップを把握して、改善を行う。


GRC の課題と理想

•課題コンプライアンス

会社

Source: ISACA

ガバナンスリスク



•課題

Source: ISACA

経営管理委員会（ボード、シニアマネージメント、ステークホールダー

監査組織リスク組織その他組織

内部監査リスク管理法令順守内部統制 IT 法務外部監査

ビジネスユニット






•理想

Source: ISACA

ガバナンス

リスク

コンプライアンス

会社



•理想

Source: ISACA

経営管理委員会（ボード、ステークホールダー）監査組織リスク組織その他組織

内部監査リスク管理法令順守内部統制 IT 法務外部監査





エグゼクティブ管理者CEO CFO CIO など

統一された統制事項と準拠範囲

統一されたインフラと人

統一された方法論と手順

統一された情報と技術


GRCツール市場

• GRCツールの分類− トランザクション＆マスターデータ監視− アクセス制御＆監視・業務テスト− ビジネスプロセス制御監視・職務分掌（ SOD ）テスト− IT ジェネラルコントロール（ GCC ）・ IT 統制


GRCツールの市場

Source: Forrester Wave: Enterprise Governance, Risk and Compliance Platforms, Q3 ’09

• Forrester調査


GRCツールの市場

Source: Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms

• Gartner調査


GRCツールの課題

• GRC の定義が企業間・ベンダー間で異なる• 部分対応。総括的に対応するツールが無い• SaaS 系のレポートやダッシュボードが提供できていないツールもある• ファイナンシャル系以外は複雑なシナリオを分析できない• 様々なデータ形式に対応、またはリアルタイムデータとリスクの監視が

できないツールもある• グローバル環境での法令順守機能が少ない• フレームワークや取り扱うコンテンツが異なる• ユーザがカスタマイズできるツールが少ない• ユーザが既存のビジネスワークフローに統合できるツールが少ない

Source: ISACA


次のステップ（ユーザ）

• 現状環境の分析・評価•ニーズ・仕様を把握する• プロセスを把握する• 統一管理するロードマップを作る•ツールをレバリッジする方法を考える

Source: ISACA


UCF を活用した PCI 認証取得サービスからのサービス拡張

3 部：　個別コンプライアンス認証から統合コンプライアンスへ　（経営企画室長　金子淳）


コンプライアンス対応における企業の悩み多くの事業体が情報セキュリティ対策を実施する上での問題点として「コストがかかりすぎる」「費用対効果が見えない」「どこまで行えば良いのか基準が示されていない」をあげています。

出典：警察庁生活安全局情報技術犯罪対策課「 H21.3.19不正アクセス行為対策等の実態調査」より


コンプライアンスにおける悩み（弊社認識）セキュリティ強化の必要性を認識してはいるものの、コンプライアンス対応への投資意識は低い。「セキュリティを効率的に強化すること」が付加価値提供のポイントになります。

どの認証を取得すればよいのか認証取得しておけば問題が起こらないのか？

認証取得していれば問題が発生しても大丈夫なのか？

法律に準拠するために多大なコストをかけたが何か得たものがあるのか？

認証取得が売上を上げるのか？コストはかけたくないが、万が一の情報漏洩は絶対に起こしたくない

効率化（低コスト）


セキュリティの強化・コンプライアンス対応の効率化（低コスト化）が付加価値提供のポイントになる。


UCF による PCI サービス拡張の方向性PCI 認証取得を基点に、「効率化」・「セキュリティ強化」の観点から、 3つの UCF 活用の方向性があると考えます。

PCI認証取得

PCI 認証取得の効率化

・付加価値提供

統合コンプライアンス

管理同時認証取得

認証数拡大（セキュリティ強化）

効率化

認証取得サービスにおける効率化（工数削減）やセキュリティ強化を実現

同時複数認証取得でアピール

複数コンプライアンスに継続的・効率的に対応できる仕組み構築

GRCツール導入

①

②

③


①PCI 認証取得サービス効率化

（ PCI 認証取得サービスに付加価値を）


PCIDSS 認証の意義PCIDSS のセキュリティ強化への貢献は大きいものの、各企業は自社のリスクを鑑みて自社に最適な IT 統制を導入しなければならない。

出典： Verizon Business リスクチームによる分析と研究 2009 年データ漏洩侵害調査報告書

調査対象事例のうち、クレジットカード情報の漏洩 / 侵害の被害を蒙っている組織の 4 分の 3 超が PCI DSS に準拠していなかったか、または一度も監査を受けたことがなかったことが判明

PCIDSS はセキュリティ強化へ大きく貢献している。

ただし・・・残り 19% は準拠を主張している企業からの情報漏洩。PCIDSS 認証取得の効果は大きいものの、各企業が自社のリスクを鑑みた統制を導入することの重要性は大きい。

非準拠81%

準拠を主張/確認（ 19% ）


No UCFカテゴリ UC

Fコ

ンロ

トー

ル

PC

I DSS 1

.2

ISO

IEC

270

01

ISO

IEC

270

02

ISO

IEC

154

08C

C（

）

ISO

154

89（記録管理

）

BS 2

5999

-1（事

業継

続）

個人

情報

保護

法

Cob

iT

1 IT戦略とリーダーシップ 53 2 9 8 5 222監査とリスクの管理 68 1 19 10 1 12 163監視と計測 219 34 9 15 6 3 1 104 テクニカルセキュリティ 161 67 25 44 1 3 215物理的環境保護 88 13 17 24 1 66 システムの継続性 99 4 8 21 1 30 187 情報セキュリティスタッフの人材管理 62 11 18 21 2 4 348運用管理 230 42 45 46 11 1 20 669 設定管理によるセキュリティ強化 872 24 10 22 7 4

10記録管理 91 13 12 13 20 1211 アプリケーションの設計と実装 117 7 5 9 19 12 5112施設、技術、サービスの獲得 24 1 4 4 3 1 1313 情報やデータのプライバシー保護 555 21 2 4 36 1

総計 2639 240 183 241 48 49 67 36 274

法規制・認証等の特徴PCI は幅広いカテゴリに対して網羅的な統制を要求しています（特にテクニカルセキュリティや運用管理に強い）。しかし、事業継続やプライバシー保護等それぞれに特化した法規制がその領域においてはベストプラクティスになり得ると言えます。

※UCF で整理した場合の要求項目数であり、実際の法令の条項等の数とは異なります。


PCI 認証取得サービスへの付加価値UCF は、 PCI 認証取得サービスに更なる付加価値を提供します。

効率化（コスト削減）

本質的なセキュリティ強化

PCI 認証取得コストを削減する

セキュリティ強化のために、 PCI要求事項にプラスして実施すべき事項を提示する


PCI 認証取得サービスへの付加価値提供- 効率化（低コスト化）

既に他の認証取得や JSOX 対応をしている企業様は、今までの対応を活用可能となります。

要求 A要求 B要求 C・・・・・・・・・

IT戦略

・・・

要求 1

要求 3要求 4要求 5要求 6・・・

要求 2

PCIDSS

要求 1


要求 2

245

外部コンサル /調査機関

要求 1

要求 3

要求 4要求 5

要求 6

・・・

要求 2

・・・

・・・

・・・

・・・

・・・

・・・

要求 4要求 5・・・

要求 2 143

245

UCF

既に対応した法令との関係が不明瞭

全 245項目を精査

外部コンサルにまるなげ

＜ UCF を活用しない場合＞使える文書 /情報のありかが不明

残143項目だけを重点精査

不要な工数（コスト）

各法令の対応はUCF にマップ済み

対応済み項目を瞬時に抽出

必要最小限の工数

外部への依存は最小限に

PCI対応済

社内スタッフ

＜ UCF を活用した場合＞

*当該ページ記載の数字はイメージです。

効率化


PCI 認証取得サービスへの付加価値提供（企業セキュリティ強化への示唆）

また、 UCFベースで PCI 対応をすることにより、その他の強化すべき領域について、具体的な形で示唆を提供できます。

IT戦略

要求 1


要求 2

PCIDSS

要求 1


要求 2

BS 要求 4BS 要求 5

BS 要求 1

BS 要求 6

BS 要求 3

・・・・・・・・・

245

UCF

現状評価 PCI 認証取得＜ UCF を活用しない場合＞必要事項の改善

PCI 認証取得

PCI に関連する領域のみの

セキュリティ確保

UCFベースでPCI 関連項目評価

必要事項の改善 PCI+BS25999更なる

セキュリティ向上

BS25991

＜ UCF を活用した場合＞（事業継続に関する統制強化も視野に入れる場合）

要求 1


要求 2×○×○×○○

要求 1


要求 2

245

（改善）

（改善）要求 4

（改善）要求 6・・・

要求 2

事業継続

要求 1要求 2

要求 4要求 5

要求 3

PCI

BS 要求 2

・・・要求 6・・・

他領域（事業継続）統制導入 or 認証取得

245+30

・・・

・・・

改善要求 2

要求 4改善

改善

要求 6・・・

改善要求 2

要求 4改善

改善

要求 6・・・

PCI

BS 要求 4BS 要求 5BS 要求 6

BS25991要求 1要求 2要求 3要求 4

BS 要求 4

IT戦略

事業継続 BS 要求 5

BS 要求 6要求 6

要求 5

・・・

・・・

・・・

その他強化すべき項目の自動把握

BS 要求 4BS 要求 5BS 要求 6

*当該ページ記載の数字はイメージです。

245

70 30

30245PCI では網羅していない

事業継続に関する統制項目


目指すところ

PCI PCI PCI PCI

目指すところ

245

目指すところ


②同時認証取得


同時認証取得事例多数の企業様が、同時認証取得を記事にしています。また、同時認証取得が効率的であったことを評価している企業もあります。

情報セキュリティの標準規格である「 ISMS 認証基準（ ver2.0 ）」および「 BS7799-2:2002 」の審査を終了し、正式に認証取得し、財団法人日本情報処理開発協会（ JIPDEC ）より「プライバシーマーク制度」正式に認証取得（ダブルでの認証取得は、県内企業初）いたしました。

印刷会社

認証

•ISMS 認証•プライバシーマーク

記事概要

I SO/IEC27001: 2005 の認証および「 PC I データセキュリティ基準の認証を同時取得しました。必要な審査項目を ISMS と PCIDSS に個別に分けて検討するのではなく、同時に進めることが出来たため、担当者の作業負荷が軽減され、個別に取得する場合と比べて、短期間で認証を取得できました。

•ISMS•PCIDSS

クラウドサーバーサービス

会社

※ニュースリリースより抜粋


UCF による同時認証取得（ PCI&XXX ）UCF は同時認証取得サービスに活用できます。

法令自社製品


ISO27002

CobiT ・・・ログ監視ツール A

アクセス管理 B

監視と計測 10.1

監視やログ生成オペレーションの確立 10.6.1 ME1.1キーとなる監査 /ログコンセプトの採用

測定方法の確立

トレーサビリティの担保

システム時刻の同期 10.4 10.10.6 YユーザーIDの記録 10.3.1 10.10.1正確な日付と時刻の記録

タイムスタンプの記録 10.3.3 10.10.1 Yイベントタイプの記録 10.3.2 10.10.1 Y

ログイン/ログオフの成否 11.5.1 Yユーザー認証における変更

ユーザーID/ポートのブロック

・・・


・・・ Y

UCF スプレッドシート UCF詳細説明（ WEB ）

様々な法規制の重複する箇所を瞬時に確認可能です。

重複箇所における、各法規制の要求事項詳細が確認できます。

該当する法令の要求事項を全てカバーする統制の提案が可能です。

イメージ


③コンプライアンス統合管理のご提案


個別コンプライアンス対応から統合管理へ現状は個別にコンプライアンスに対応しているためコンプライアンス業務が非効率的で、文書も散在している。 UCFによる統合管理を実現すれば対応プロセスはシンプルになり、且つ網羅的なセキュリティ強化も実現可能です。

分析

文書化・評価

認証・監査

導入・改善

個人情報 PCISOX

分析

文書化・評価

認証

監査

導入・

改善

分析

文書化・評価

認証・監査

導入・改善

分析

文書化・評価

認証・監査

導入・改善

セキュリティ責任者

個人情報 PCISOX 事業継続

CLCLCL

SOX PCI個情

セキュリティ責任者

個人情報

• 報告レポート•ポリシー• チェックリスト等

UCF

現状あるべき姿

• 報告レポート•ポリシー• チェックリスト等


UCF による統合管理の実現アプローチUCF 導入は大きく 2つのフェーズにわかれます。 UCF の導入後は、通常の IT 統制評価運用と変わりません。（貴社で運用中の IT 統制チェックリストが UCF シートに置き換わるのみです）

①法令原文収集

②情報・システムの定義・分類

③コントロールの選択・改善

④コントロールの文書化

⑤コントロールの実装

⑥評価

⑦モニタリング

UCF の導入（更新）フェーズ UCF を用いた運用フェーズ

IT 統制チェックリストを UCF で最適化されたものに変更する（導入後、対応法令の変更に基づき更新）

UCFベースで IT 統制評価・運用（監査対応等）を行う

新規で実施する領域今までの運用と同様


UCF 統合管理導入ステップ概要（ 1/2）

STEP 概説アウトプット例

法令の調査•新規対応必要な法令の

チェック•既存法令のアップデー

トチェック

法令文書の分類と保管

各種法令文書の要求事項の分析

要求事項と統制のマッピングと最適な統制定義

•マッチする統制が未定義の場合、統制項目を追加

•追加した項目に要求事項のマッピング

•不要な統制の削除　等

•法令関連 WEB サイトや法令文書のリスト

（法令の更新・対応予定法令等の追加などが確認できること）

•整理して保管された組織に関連する法令等の公式文書

•統制検討に必要な要求事項とそれ以外を識別するためのルール

•要求事項に対応したシステム分類・情報分類等の定義

•最適化された統制リスト•自社の統制状況文書•モニタリングや報告に利用する測定基準

•法令原文の条項とコントロールの関連を記載したシート

UCF 活用方法

•当該ステップでは利用しません

•当該ステップでは利用しません

•UCF では 400以上の法令を精査し IT 統制に係る全ての要求事項を網羅的に整理しています。

•お客様は UCFWEB を活用し、要求事項の分析を実施できます。

•UCF により、貴社が対応必要な法令に関連する統制項目リストを自動的に提供可能です。（統制と条項のマッピング含む）

•これらの項目に貴社の統制状況を記入してください


②システム分類

③統制の選択

④統制文書化

⑤統制の実装

⑥評価



UCF 統合管理導入ステップ概要（ 2/2）

STEP 概説アウトプット例 UCF 活用方法

各統制の責任者・部門と統制項目のマッピング

IT 関連資産と統制項目のマッピング

ポリシー・基準やプロセスと統制項目のマッピング

監査項目のマッピング

•統制の責任者が明示されたシート

•コントロールや測定基準とリンクした役割設定基準

•IT 資産のリスト•IT 資産と統制がマッピングされたシート

•上記資産のベンダーや窓口情報

•設定・変更管理プラン・基準

•コンプライアンスに必要なポリシー・基準・手続き・計画等

•上記と統制・資産・役割がマッピングされたシート

•監査ガイダンス（ UCF を利用した監査対応に関するガイダンス）

•監査項目がマッピングされた UCF完成版

•UCF をベースに最適化された統制エクセルシートに責任者部門等を入力してください･

•統制エクセルシート（ UCF ）に関連する資産を入力してください

•統制エクセルシート（ UCF ）に関連するポリシー・基準・プロセス・手続き等を入力してください

•統制エクセルシート（ UCF ）に関連する監査項目を入力してください


②システム分類

③統制の選択

④統制文書化

⑤統制の実装

⑥評価



（参考） UCF コンプライアンス統合管理シート前述のステップに従った、 UCF シートベースの IT 統制チェックリストのイメージです。

対象ロケーション

対象資産統制内容責任者文書監査

手続き

イメージ

ステータス


UCF 活用事例–某大手グローバルカンパニーによる統合管理

A 社では、国別対応で煩雑化していたコンプライアンス対応業務を UCF で統合管理し、コンプライアンス業務の効率化を実現しました

コンプラ対応状況イメージ（ UCF 導入前）

UCF 導入後

コンプラ対応組織構造

IT

本社

ファイアウォール

ログ解析ツール

IPS/IDS 等

サーバー

ネットワーク機器



サーバーネットワーク

機器

IPS/IDS 等

ファイアウォールサーバー


支社

ISOチーム

SOXチーム

・・・チーム

IT チーム（ IT ）

設定変更 /製品導入

・・・



IPS/IDS 等

サーバー


設定変更 /製品導入

・・・

ISOチーム

SOXチーム

・・・チーム


統合コンプラ管理チーム


責任者責任者


共通設定共通設定

本社支社

IT製品・機器を集約

設定を共通化

コンプラ対応人員を最適化

本社・支社均質なステータス管理の実現

ステータス把握困難

文書の散在

各社個別の設定

各社個別の製品利用

冗長な対応人員

＜状況＞各社個別にコンプライアンス対応を実施しており、各社の対応状況はバラバラで効率化の要素も把握できない状況であった。

＜実施事項＞UCF により統一管理項目を定義。それに対する各社の IT 統制対応状況を把握し、 IT 統制における無駄を排除した。また、 UCF でのコンプラ統合管理により対応組織の最適化を実現した。


UCF 活用例のご紹介


営業における UCF の活用

顧客リーチの拡大

クロージング率アップ

営業担当者の IT リテラシー不足 IT 統制に対する全体的な知識が不足して

いるため、クライアントを惹き付けるような会話や具体的な示唆が出せない

提案内容の具体性欠如法令対応等を実施している顧客に「製品

は SOX 対応です」等をうたっているが、具体的にどう対応できているのか説明できていない

目指すところよく見られる営業上の課題（例）

新規拡大アプローチ手段の不足顧客により対応している法規制・ IT 統制が異なるため、自社製品と顧客ニーズとの対応が良く分からず、リーチ出来ない

既に同様の製品を導入してしまっている顧客に全くリーチが出来ない。

機会損失新しい法令発令等により製品需要が喚起されている状況だが、自社製品との関連を見極めているうちに、他社に先をこされてしまう。

新製品が発売されたが、営業マンの製品理解に時間がかかり顧客リーチが遅れてしまう

「製品マーケティングツール」

としての活用

UCF 活用例

「顧客リーチの拡大」や「クロージング率 UP 」等、営業上の課題に対して UCFを活用することが出来ます。

売上拡大 ×

「ＩＴ統制辞書」としての活用


製品マーケティングツールとしての活用

•自社製品と UCF の統制をマッピングします。•自社製品と各法令の各条項との対応が表現されます。

製品マーケティングツールイメージ

販路拡大• クライアントがどの法令・基準に準拠して

いるかに依存せずアプローチが可能となります。

具体的なアプローチの実現• 自社製品が具体的に何をカバーしているか、何％カバーしているかを明確に表現可能です。

• 不足する部分を事前に把握し、不足を補う製品やサービスを展開している企業と連携して提案することも可能です。

法令自社製品


ISO27002 CobiT ・・・ログ監視

Aツールアクセス管

B理監視と計測 10.1監視やログ生成オペレーションの確立 10.6.1 ME1.1

キーとなる監査/ログコンセプトの採用測定方法の確立トレーサビリティの担保

システム時刻の同期 10.4 10.10.6 YユーザーIDの記録 10.3.1 10.10.1正確な日付と時刻の記録タイムスタンプの記録 10.3.3 10.10.1 Yイベントタイプの記録 10.3.2 10.10.1 Y

ログイン/ログオフの成否 11.5.1 Yユーザー認証における変更 YユーザーID/ポートのブロック Y・・・ Y


・・・ Y

・・・

PCI,ISO27001

A 社

Cobit

C 社

JSOX, 個人情報

B 社

ポテンシャル顧客

営業

製品 A は PCIDSS の要求を○％カバーしているぞ。確か A 社は PCIDSS に対応したいといっていたから、カバーできてない領域は D 社と連携することにして提案にいってみよう！

イメージ


製品マーケティングツールとしての活用 - 新規法令の発令時

•新しい法令や基準が制定されると UCFがシートに条項をマップ *1 します。

•お客様は、調査等する必要なく新規法令や基準と自社製品の対応が把握できます。

製品マーケティングツールイメージ【新法令対応時】

顧客への迅速なアプローチの実現• 競合他社が新規法令を調査している間に、顧客への迅速なアプローチが可能になります。

法令自社製品









・・・ Y

A 社


新法 A

1.11.2

1.3

2.12.2

*1 ：四半期毎に更新

更新箇所

・・・

新規法令の調査中

×

営業

競合他社営業

3.13.2

弊社の製品は新法の1.2 、 1.3 、 2.1 、 2.2 に対応可能だ！！この切り口でお客様に話しを持って行こう

イメージ


製品マーケティングツールとしての活用 –製品品質向上への活用

•様々な法令の要求事項で、自社製品が対応していない領域を把握します。

製品マーケティングツールイメージ

自社製品向上への利用• 自社製品の品質向上のために、追加すべき機能を製造部門へフィードバックできます。

法令自社製品









・・・ Y

A 社


新法 A

1.11.2

1.3

2.12.2

・・・

営業

3.13.2

自社製品が対応できてない領域

製造部門

ニーズ把握

製品改修依頼

弊社の監視ツールは“ユーザＩＤの記録”と“正確な日付の記録”の部分をクリア出来ると監視分野での網羅性が出てくるな！！製造部門にフィードバックしてみよう

イメージ


IT 統制辞書としての活用 – IT 統制全体像の理解UCF は IT 統制を体系的に整理しています。各カテゴリの上位階層を理解することにより、営業スタッフが IT 統制に関する全体像を理解することが可能です。

01-IT戦略

04- テクニカルセキュリティ

06- システム継続性

02-監査とリスク管理

03-監視と計測

05-物理的・環境的保護

07-人材管理

08-運用管理

09- 設定管理

10-記録管理

11- アプリ設計と実装

12-技術の獲得

13- プライバシー保護

組織における目的 /機能 /活動の分析情報タイプ別の保証とインパクトの定義

・・・・・・

情報分類スキームの確立データディクショナリの確立と維持・・・

コンプラフレームワークとスコープの定義情報 sys/技術に対する外的ルールの特定・・・

戦略的役割と責任の定義取締役の関わり最高責任者の設置・・・

戦略的な IT プランの策定IT 長期計画の策定・・・

統制カテゴリ（ L1 ）

L2 L5L3 L4

カテゴリ詳細（ 01． IT戦略）

UCF の各カテゴリの上位階層の統制（ L2,L3程度）を参照することにより、 IT 統制の全体像を理解することが可能です

•IT 統制っていうけど結局どこからどこまでやればいいんだろうか？

•それから、最近 BCPとか騒がれてるけど、概要ご存知ですか ?弊社は何をすればよいでしょうか？

•IT 統制は、まず会社戦略と IT戦略を整合すること、・・・、・・・等の領域があります。そのために具体的には・・・、・・・等をする必要があります

•BCP では大きく・・・、・・・等の対応を実施する必要があります。御社においては・・・等の状況を調査してみるべきでしょう。

•自社製品では BCP 対応を支援する、製品 Aがございます。一度ご紹介させてください。

営業

クライアント担当者

イメージ


IT 統制辞書としての活用 –個別領域の詳細理解UCF により、ある領域における詳細内容を理解することが出来ます。詳細な理解に基づく具体的な提案、また、新しい示唆も提供することが出来ます。

PCI DSS ISO 27002

10.4 10.10.610.3.1 10.10.110.3.2 10.10.1

11.5.1

10.3.4 ├ [01918] ポートのブロックに関するログ ├ [01919] ログイン回数超過によるアクセス拒否

統制タイトル[00634] トレーサビリティの担保 ├ [01340] システム時刻の同期 ├ [01334] ユーザーIDの記録 ├ [01335] イベントタイプの記録 ├ [01915] ログインの成否に関するログ ├ [01916] 機密アクセスに関するログ

UCF を参照することにより個別領域に対して階層化された詳細な統制を全て把握できます

各法令や基準をベースとした場合に対応必要な項目が瞬時に判断できます

03.監視と計測

・・・・・・・・・

主要な法令等で網羅されているわけではないが、実は重要な統制について理解が得られます

•この間 A 社による XXシステム導入時に監視ツールがセットで導入されたのだけど、何をしているか全く分からずこまっています。どこまで何をすればよいのでしょうか？

•ログ監視においては、・・・、・・・等を実施する必要があります。運用監視のベンチマークとなる ITIL では・・・等、全・・・項目の対応を定義しています。また、 ITIL では定義されていませんが、・・・等のログも取得しておくとより強い統制となるでしょう。

•一度御社のログ監視状況を ITILベースで評価してみてみましょうか？具体的な対応状況と改善案を提示します

クライアント担当者

営業

イメージ

© 2010 NANAROQ Inc.

The information contained herein is subject to change without notice

Thank you

http://www.nanaroq.com/


（参考）日本 CSO 協会の立ち上げ計画

例：　日本 CFO 協会　－　加盟企業　１１２社

＊個人会員向けサービス財務情報誌の無料進呈オンラインセミナー会員専用サイトのご利用

＊個人会員向けサービス経理・財務スキル診断各種アンケート調査結果のフィードバック、各種情報のご提供会員専用サイトのご利用オンラインセミナー

日本におけるセキュリティの意識醸成のための情報共有の場を検討中。

20100617 seminar

Technology