データベース監査ツール PISO
財務データの信頼性−欠かせないアクセス監査−
内部統制の整備において、特権ユーザによるデータベース・アクセスを 「リスク」とみなす企業が増加しています。 財務に関連するシステムの運用において、データベースの特権ユーザを使う業務は必ず存在します。 そのため、財務に関連するデータは、常に改ざん、削除されるリスクを伴います。 財務データの信頼性を確保するためには、特権ユーザのアクセス(業務)を監査し、不正なデータ操作が行われていないことを証明しなければなりません。
データベースを守ること−最も有効な情報漏洩対策−
連日報じられる企業の情報漏洩事件。 なぜ、どこから、こんなに大量の顧客情報が持ち出されてしまったのでしょうか? ほとんどの情報漏洩事件では、セキュリティ対策をネットワークや物理的に施していますが、データ自体には何の保護対策もされていないためです。 この現状に最も有効なセキュリティ対策の1つが、「顧客情報、会計情報などを管理しているデータベースを直接守る」ことなのです。
内部関係者による不正行為を阻止するには、どうするか?
情報漏洩事件の80%は、内部犯行と言われています。 CD−RやUSBメモリー等で社外に持ち出す前に、アクセス権限の有る無しを問わず、実は、データベースへアクセスし機微な情報を取得するケースが多いのです。 そのため、機密情報を管理するデータベースを直接監視し、内部からセキュリティを高めることが重要なのです。
PISOによる「安全管理措置」
個人情報保護法に対応して各省庁からはその業界における個人情報保護に対するガイドラインが作成されています。 例えば、経済産業省の「経済産業分野を対象とするガイドライン」や金融庁の『金融分野における個人情報保護に関するガイドライン』では「安全管理措置(法第20条及び基本方針関連)」として、下記の項目が明記されています。
- 法第20条
-
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止
その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
- 個人データへのアクセスの記録、分析
- 個人データへのアクセス権限の管理
- 個人データへのアクセス制御
| 1 | 機密情報に対する操作を |  |
記録 |
| 2 | 不正アクセス、ポリシー違反のアクセスを | |
警告 |
| 3 | アクセスログの活用 | |
検索・分析 |
