【44-04】 HP OpenView製品情報
HP OpenView Select Audit　のご紹介

HP OpenView Select Audit（以下、OVSA）は、アクセス制御の記録、パスワード変更、ユーザアカウント管理の履歴などのアイデンティティ(ID)管理プロセスに関するログをセキュアに保管し、内部統制のIT全般統制で求められる要件を充たすために重要であるID 監査を自動化するツールです（2006年8月30日報道発表記事
→ ≫http://h50146.www5.hp.com/info/newsroom/pr/fy2006/fy06-159.html　）。

OVSAは、COBIT の趣旨に合致するよう設計されております。米国 SOX法のPCAOB（米公開会社監視委員会）監査基準では、IT全般統制の評価及び監査は、詳細なリスク項目における統制内容を、証拠とともに明確にしなければならないとされます。これらのリスク項目として、多くの企業で参照されるCOBIT（Control Objectives for Information and related Technology）の最新バージョン4.0「Deliver & Support 5.5（Security Testing, Surveillance and Monitoring/セキュリティテスト、監視、モニタリング）」では、ログ取得と監視が規定されております。

OVSAで自動化されるID監査は、まず、情報リソースへのアクセスやアカウントの生成、変更、削除、パスワード管理といったID管理アクションのデータを不正改ざんできないセキュアな状態で記録保存します。次に、ID違反がないかどうかをリアルタイムで監視し、問題が発生した場合には他のシステムへ通知し、たとえば、HP OpenView Service Deskでトラブルチケットをオープンするなどして、現場対応を促すことができます。
さらに、ワークフローによりにより、レポート作成されるとともに、違反アクションがないかどうか、アテスト(証明)を行い、過去のデータとも照合して、ID管理が改善されたかどうか判定されます。監査結果の統計データも不正アクセスされないよう、権限ある者のみしか参照できないよう保管されます（図1参照）。

図1
≫拡大画像(新規Window)

また、OVSAは、HP OpenView Compliance Managerのサブシステムとして、IT全般統制の報告書作成を強力に支援します。

OVSAの主な機能、特長は以下の通りです。

◆ID監査の統制モデリングで、コンプライアンスガイドラインや企業監査ポリシーの厳守をダッシュボードで確認できます。

OVSAの情報モデルには、特定のID、セキュリティ統制のため、COBITなどの統制目標とのマッピングや、改善が必要なレベルの監査内容を特定するための首尾一貫した手段を提供する機能があります。このモデリングは、たとえばパスワードの定期的なリセットといった個別のID管理に関するコンプライアンス状況を確認するというだけでなく、広く企業全体の監査ポリシーと統制を関連付けることができるので、定型的なID監査業務を迅速かつ正確に遂行することができます。

◆ワークフロー型アテステーション（証明）機能により、OVSAで提供するID監査レポートがビジネスの望ましい状態であると承認された証拠として文書化することができます。

OVSAのワークフロー型アテステーション機能では、まず、監査承認者に、ID監査レポートがスケジュール通り作成されたことを自動的に通知し、セキュアな認証の後、監査承認者が、レポート内容を把握し、ビジネスの望ましい状態を維持するために必要な是正措置をとるという一連の作業プロセスを文書化し、証明することができます。さらに、ワークフローとアテステーション（証明）作業は監査対象となり、経営陣へのレポートとして提供が可能です。

◆ID管理とアクセス制御の各管理基盤からの情報を収集して、ID監査の自動化を推進

OVSAは、企業内のあらゆるアイデンティティ基盤から、セキュリティ、ID監査用データを収集します。例えば、HP OpenView Select IdentityからはIDプロビジョニング（アカウント作成、変更、削除など）に関するログを、HP OpenView Select Accessからはアクセス管理に関するログを、HP OpenView Select Federationからは、企業間連携シングルサインオン通して記録された、自ドメインもしくは連携ドメインのユーザーアクセスログを収集します。
また、サードパーティ製品のID基盤向けのデータ収集用APIを開発するキットも近日提供予定です。

◆監査データのアクセス管理と不正改ざんを防ぐ「耐タンパー性データ」において、職務の分離とプライバシー保護を提供

OVSAは、職務の分離機能、つまり、監査アドミニストレーション作業と報告書作業の分離がシステム上強制されます。これにより、報告書作成者の権限でOVSAにアクセスしたユーザが監査内容について、職務外のデータを閲覧したり、データ変更をしたりすることはできません。
このことは、データのプライバシーを保護することにもつながります。個人識別情報（PII）データアクセスにも制限があり、監査アドミニストレータは、報告書と自らの組織または役職に関連するデータのみの閲覧だけ許可されます。第三者の監査者または当局の場合も、彼らが必要とする関連情報のみしか閲覧できません。
繰り返しますが、データはすべて電子署名付きでセキュアに保管され、データ完全性が保持されます。

◆SOX法対応用パッケージをはじめ、様々にカスタマイズ可能な報告レポート

Select Auditレポート一覧
≫拡大画像(新規Window)

ID監査レポートの書式は自社に合わせて設定が可能なほか、SOX法に対応した書式を集めた「SOXレポートパック」も用意されています（図2参照）。SOXレポートパックは、COBIT4.0のDS5.3（ID管理）、DS5.4（ユーザアカウント管理）、DS5.5.（セキュリティテスト、監視、モニタリング）をはじめとするID監査に関連する各リスク項目に適合したレポートを作成するためのテンプレートです。これにより、 ID監査に関するコンプライアンスレポートを迅速に作成可能となります。また、SOX法に対応した運用管理製品「HP OpenView Compliance Manager」との連携も可能となります。

図2
≫拡大画像(新規Window)

内部統制を支えるITの全般統制におけるIDとアクセスの効果的な管理は、セキュリティや法規制の面で対応が求められています。全世界におけるSOX法対応の経験をもとに、HPでは、SOX法に対応するレポートパック機能を備え、ID関連の監査データの集約を自動的に行えるID監査製品をご紹介しています。お客様のITガバナンスの環境整備を加速させるためにも、是非ご検討下さい。