セキュリティ基準への適合
LogStareは歴20年のSOC事業者の実績をもとに
官公庁などが定めるセキュリティ基準への適合と
企業のコンプライアンス確立を支援します。
日本版SOX法(IT全般統制)
経済産業省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」 において、内部統制におけるIT統制の必要性が明記されています。具体的にはIT基盤(ハードウェア、OS、ネットワーク、データベース)への統制に対し、IT全般統制の1つである「内外からのアクセス管理」が求められています。
つまりIT基盤に対するアクセス管理が必須となり、IT統制のモニタリングにおいては、
- 24時間365日ログ収集
- 収集したログの分析
- ログの一定期間の保管
などの統制手段が有効に機能していることが重要です。
LogStareの導入により、IT基盤(ハードウェア、OS、ネットワーク、データベース)のログ管理が実現します。
PCI DSS
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員のカード情報を安全に守るために、主要な国際ペイメントブランド各社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
具体的なセキュリティ実装基準が明記されていることから、クレジット業界はもちろんのこと、クレジットカード情報を取り扱う業者とはまったく関係のない企業・組織でもPCI DSSを企業のIT統制のセキュリティ基準として採用するケースが増えています。
これは、クレジットカード情報を個人情報に当てはめることで、個人情報の取扱いをクレジットカード情報と同等に扱うことになり、高いセキュリティ水準の元に個人情報管理の体制を構築できるためと考えられます。
LogStareは、PCI DSSで規定している
【要件10】ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
の要求事項に、ネットワーク資源およびカード会員データに対するアクセスログを、管理者を含むすべての操作対象に記録し、確実に保護することで対応します。
具体的には以下のように実現します。
- ログはユーザーIDやイベントタイプ、日付、時刻など詳細にわたり記録し、改変できないよう措置する
- セキュリティインシデントが発生した際には、速やかにログを確実に追跡できるようにする
プライバシーマーク
個人情報を取り扱う多くの企業や団体は、正しく顧客情報を運用すること、さらには信頼を得ることを目的に、プライバシーマーク(Pマーク)を取得しています。 その取得基準となる「JIS Q 15001個人情報保護マネジメントシステム」の要求事項として、
- 法令、国が定める指針、その他の規範を策定
- 個人情報の安全管理のために必要かつ適切な措置を講じる
- 運用確認監査として、定期的に個人情報保護マネジメントシステムが確認されるための手順を確立し、実施し、かつ維持しなければならない。
が明記されています。具体的に技術的安全管理措置として講じなければならない措置として、
具体的には以下のように実現します。
- 個人データへのアクセスの記録
- それらの記録が保管され管理されていること
- 個人情報の安全管理のために必要かつ適切な措置を講じる
が挙げられます。これらを実施する手段として、LogStareが活用できます。
