下記の表は、COBIT の上位目標のうち、「サービス提供とサポート(Delivery and Support: DS)」のセクション5「システムのセキュリティの保証(Ensures
Systems Security)」および「監視活動(Monitoring: M)」と、それに対応するチェック・ポイントのセキュリティ・ソリューションの一例をまとめたものです。ただし、企業の環境はそれぞれ異なるため、各企業は、自社のリスクおよび統制を評価して、SOX
法を遵守するための自社固有の要件を判断する必要があることに注意してください。
| COBIT
の統制目標 |
チェック・ポイントの法令遵守
関連ソリューション |
詳細 [英語] |
| 安全なネットワークの構築と維持 |
DS5.3: ID 管理(Identity
Management)
- すべてのユーザを一意に識別できるようにする。認証メカニズムによりユーザの識別を可能にする。
- ユーザ ID およびアクセス権を中央リポジトリで管理する。
- ユーザの識別、認証の実施、およびアクセス権の運用管理を行うための費用対効果に優れた技術的・手続き的な方策を導入し、これらを常に最新の状態に保つ。
|
チェック・ポイントの境界、内部、Web、およびエンドポイント向けのソリューションでは、きめ細かなアクセス・ルールと権限付与ルールを作成することができます。 |
DS5.3 |
DS5.4:
ユーザ・アカウント管理(User Account Management)
- ユーザ・アカウントおよびそれに付随するユーザ権限の申請、作成、発行、一時停止、変更、抹消は、ユーザ・アカウント管理のための一連の手続きに基づいて行う。
- すべてのアカウントおよびそれに付随する権限について、経営陣による検証を定期的に行う。
|
ユーザ・アカウント管理および認証の機能は、チェック・ポイントのすべてのソリューションが基本機能として備えています。 |
DS5.4 |
| DS5.5: セキュリティの検査、監督、監視(Security
Testing, Surveillance and Monitoring)
- 予防的措置として、IT セキュリティ機能の検査および監視を行う。
- ロギングおよび監視の機能を使用することにより、何らかの対応が必要となる例外的・異常な活動を抑止、あるいは早期に発見し、適宜報告できるようになる。
|
チェック・ポイントの管理製品では、チェック・ポイントおよびサードパーティの複数のゲートウェイにまたがるユーザ・アクセスや、管理者がシステムに対して行った変更をロギングおよびレポートすることができます。
チェック・ポイントの Eventia では、企業システムのセキュリティ状態(重大なイベントや不正侵入、異常事態が発生していないか)を検査・監視することができます。 |
DS5.5 |
DS5.6: セキュリティ・インシデントの定義(Security
Incident Definition)
- インシデント/問題管理プロセスにおいて適切な分類と対応を行えるように、起こり得るセキュリティ・インシデントの特性を明確に定義し、関係者に周知する。
|
チェック・ポイントの多くのソリューションでは、企業におけるセキュリティ・インシデントを定義および監視できるため、インシデントの発生を予防、あるいはインシデント発見時に素早く対応することができます。 |
DS5.6 |
DS5.7: セキュリティ技術の保護(Protection
of Security Technology)
- セキュリティ関連の技術が改ざんされることのないように対策を講じる。
|
チェック・ポイントの境界、内部、Web、およびエンドポイント向けのソリューションでは、きめ細かなアクセス・ルール、権限付与ルール、および認証ルールを作成することができます。 |
DS5.7 |
DS5.9: 悪意あるソフトウェアの抑止、検出、是正(Malicious
Software Prevention, Detection and Correction)
- ウイルス、ワーム、スパイウェア、スパムなどのマルウェアから情報システムや技術を保護するため、組織全体にわたり、それらを抑止、検出、是正するための対策を講じる(最新のセキュリティ・パッチやウイルス・シグネチャを適用するなど)。
|
エンドポイント・セキュリティ製品の Integrity は、短時間のうちに広まる攻撃をブロックするために必要なアンチウイルス機能を提供します。VPN-1
ファミリ(VPN-1 UTM、UTM-1 Edge、VPN-1 UTM Power)には、ゲートウェイ・ベースのアンチウイルス機能が統合されています。 |
DS5.9 |
DS5.10: ネットワーク・セキュリティ(Network
Security)
- ·セキュリティ技術およびそれに付随する管理手続き(ファイアウォール、セキュリティ・アプライアンス、ネットワークのセグメント化、侵入検出など)を用いて、ネットワークへのアクセス許可とネットワークの情報フローを制御する。
|
チェック・ポイントは、ネットワーク・セキュリティに関する課題の解決策として、業界をリードする純粋なセキュリティ製品を幅広く提供しています。チェック・ポイント製品を使用することで、セキュリティを確実に制御しつつビジネスを展開することが可能になります。 |
DS5.10 |
| DS5.11: 機密データの受け渡し(Exchange
of Sensitive Data)
- 機密性の高い業務データのやり取りは、内容の完全性確保、受信証明(受領証明)、送信証明(発送証明)、および送り手側の否認防止が可能な、信頼できる経路またはメディアを使用して行う。
|
チェック・ポイントのデータ・セキュリティ・ソリューションである
Check Point Full Disk Encryption により、データの保存、ローカルでの暗号化、鍵の管理に関する要件に対応できます。チェック・ポイントのリモート・アクセス・ソリューションである
VPN-1 と Connectra は、公衆網経由でデータを送信する際、標準ベースの暗号化プロトコルを使用して強力な暗号化を行います。 |
DS5.11 |
| ME1:
IT 成果の監視と評価(Monitor and Evaluate IT Performance) |
ME1.4: 成果の評価(Performance
Assessment)
- 目標に対する達成度を定期的に検証し、目標未達があった場合はその原因を分析して、原因に対する是正措置を実施する。また、目標未達全般の根本原因分析を適宜行う。
ME1.5: 取締役会および経営陣への報告(Board and Executive
Reporting)
- ビジネスに対する IT の貢献について、経営上層部向けのレポートを作成する。
- 経営上層部にレポートを提出し、レビュー後のフィードバックを求める。
ME1.6: 是正措置(Remedial Actions)
- 成果を監視、評価、および報告した結果に基づいて是正措置を策定し、実施する。
|
チェック・ポイントの管理製品は、チェック・ポイントのシステムとサードパーティのシステムにまたがってセキュリティ・パフォーマンスをロギングすることができます。Eventia
は、経営陣向けの詳細なレポート機能と、イベント・ベースの是正機能を備えています。 |
ME1.4
- ME1.6 |
