コンプライアンス

ネット中立法では良き理解者だが、プライバシー問題では怖い存在に

米国民のみならず世界中の人々の注目を集めている次期大統領バラク・オバマ（Barack Obama）氏。IT業界もまた、技術への関心がとりわけ高いと言われるオバマ氏の一挙一動を固唾を飲んで見守っている。そんななか、同氏と深い関係にあると取りざたされているのが米国Googleだ。同社CEOが政権にかかわる立場になったことなどで、Googleにとって数々のメリットが得られるのではないかと見られているのだ。本稿では、オバマ氏が果たして、本当にGoogleにとって“強い味方”となるのかどうかを考察したい。（2008年11月14日）

「クラウド・サービスを含むあらゆる形態を駆使し統合的なソリューションを提供」

　電子メールのセキュリティ対策ソリューションを提供する日本プルーフポイント（Proofpoint）は2008年10月7日、日本市場向けに最新バージョンとなる「Proofpoint 5.5」を投入することを発表した。米国ProofpointのCEOを務めるゲイリー・スティール氏に、Proofpoint 5.5の特徴と日本市場での展開について話を聞いた。（2008年10月15日）

日本古来の経営観と企業会計の国際潮流を解説し、経営プロセスの最適化を説く

8月27日に東京都内で開催された、日本オラクル主催の経営／財務マネジメント関連コンファレンス「Oracle Enterprise Performance Management Summit」。その基調講演に、日本CFO協会で最高顧問を務める財務会計のスペシャリスト、金児昭氏が登壇し、来場した経営者や財部・経理部門担当者に向けて、日本古来の経営観と企業会計の国際潮流を解説した。（2008年08月28日）

他愛ない行為が、刑事事件にまで発展するおそれも

席を外している同僚のコンピュータのそばを通りかかり、電子メールをのぞいてみようと思ったことはないだろうか。あるいは、ほんのいたずら心で同僚のメール・パスワードを探り出し、仕事用のメール・アカウントに勝手にアクセスしようと思ったことは？――単なる悪ふざけや害のない盗み見のつもりでも、そのせいで思わぬ窮地に陥るかもしれないことを、少なくとも企業ユーザーは知っておくべきである。場合によっては、勤務先解雇だけでなく、連邦犯罪に問われるおそれもあるのだ。（2008年08月04日）

自社のIT／情報資産を取り巻く脅威を知り、バランスのとれた対策を実施する

企業・組織において情報セキュリティ・マネジメント体制／基盤を確立することは、ビジネスとITの両面の課題をクリアしつつ事業を継続・成長させていくうえでの大前提である。本稿では、今日求められる経営課題を踏まえながら、情報セキュリティに関するインシデントの動向や標準規格の概況、全社的な対策の実施時に留意すべきポイントなどを紹介・解説することで、時代の要請に応えうる情報セキュリティ・マネジメントを構築するためのガイドラインを示してみたい。（2008年07月31日）

紛失／盗難にあったノートPCを持ち主の下へ――商用版にどこまで対抗できるか

ノートPCをなくしてしまうのは、今や人生の一部をなくすのと同じだ。思い出の写真や好きな音楽、個人的な日記など、かけがえのないデジタル・データに永遠に別れを告げることになる。ましてや仕事用のノートPCともなれば、機密情報を漏らした張本人として処罰されかねない。そうしたなか、米国Washington大学とCalifornia大学San Diego校の共同研究チームは7月14日、持ち主の情報プライバシーを守りながら無料でノートPCを追跡してくれるオープンソース・ソフトウェア「Adeona」を発表した。（2008年07月15日）

法規制の増加を見据え、長期的な視点でIT投資を考える

コンプライアンスへの取り組みは、それ自体が直接的な利益を生み出すわけではない。そのうえ、スタッフの人件費や監査への対応、アクセス制御やログ取得といったツールの導入、アーカイブ・データの永久保存と、さまざまな局面でコストが発生する。本稿では、米国Nemertes Researchによる調査結果を基に、米国ユーザー企業におけるコンプライアンスへの取り組み状況をコスト面に目を向けて解説する。（2008年06月27日）

海外のデータセンターで個人情報が盗まれる可能性も

もしも、知人または見ず知らずの人の情報について尋ねる電話がかかってきたとしたら、すでにあなたの個人情報の一部が“債権回収会社”に漏れているかもしれない――。Network World米国版の人気コラム・コーナー「Gearhead」の著者であるネットワーク・ビジネスの専門家、マーク・ギブス（Mark Gibbs）氏の調べによると、さまざまな場所から収集された個人情報の売買やデータ・マイニングを専門とする一大業界が存在するという。（2008年06月23日）

評価プロセスの形骸化を批判する声が専門家の間で高まる

米国連邦議会の下院監査政府改革委員会は5月20日、2007年度における各政府機関のコンピュータ・セキュリティ対策に関する評価表を発表した。それによると、政府全体の総合評価は「C（可）」であった。その一方で、評価表とその基準となる内部セキュリティ報告書は、サイバー脅威に対する連邦機関の対応度を正確に反映していないと批判する声も上がっている。（2008年05月21日）

第2回 偽造IDを使ってオンライン詐欺を追跡、逮捕へ

犯罪者の摘発は警察の仕事である。しかし、複雑化したインターネット犯罪に、警察が迅速に対処する可能性は低い。ならばインターネット犯罪には、自分が立ち向かうしかないのだろうか──。第2回目となる本稿では、偽装IDを作成し、みずからの命を危険にさらしながらも、オンライン詐欺師の現行犯逮捕に貢献したケースを紹介しよう。（2008年05月20日）

第1回 トロイの木馬を仕込んで児童ポルノを摘発

毒をもって毒を制す──。急速に普及したインターネット社会で暗躍する犯罪者を“あぶり出す”ためには、時として法律に抵触する危険もあるようだ。サイバー犯罪の最新動向を探る本連載で、最初に紹介するのは、ネット上に蔓延する違法な児童ポルノを摘発するため、「トロイの木馬型プログラム」を第三者のコンピュータに仕込んだ青年（当時）のケースである。法律を犯せば罰せられる。しかし、だれが彼の“罪”を非難できるのだろうか。（2008年05月13日）

アドビ システムズは、現在、企業、顧客、パートナー、従業員などの間に存在するプロセスやセキュリティ上の課題を解決し、円滑なビジネス・コミュニケーションの実現を支援する統合開発環境「Adobe LiveCycle Enterprise Suite」の拡販に注力している。そのねらいは何か。編集部は、同社マーケティング本部の小島英揮氏にインタビューを行い、LiveCycleの製品戦略と今後の展望について聞いた。（2008年05月12日）

もうだれも確定申告はごまかせない？――総容量150TBものデータを管理分析

ご存じのように、米国では、個人も事業主もそれぞれ確定申告を済ませなくてはならない。ゆえに、米国国税庁（IRS）が扱うデータは膨大かつ多岐にわたっており、同庁のIT部門では、10年前から先進的なデータ・ウェアハウス（DWH）システムの構築が取り組まれてきた。本稿では、同庁の高速／大規模DWHの特徴や、同システムがもたらす、税金詐欺摘発をはじめとする導入効果について見ていく。（2008年03月28日）

United Airlines、Comcastなど先進ユーザーに学ぶ

ビジネス・ニーズに迅速に対応できるITシステムを実現することは、ITマネジャーが取り組むべき主要課題の1つである。SOAは、この課題を解決することのできる戦略的なアプローチとして注目を集めている。しかし、いまだに多くの企業が導入の初期段階にとどまっており、SOAによって得られるメリットを十分に引き出せていないという企業も少なくない。そこで本パートでは、実際にSOAの導入に成功している米国企業の事例を紹介しながら、SOAのメリットを最大限に引き出す方法を探ってみたい。（2008年03月18日）

CA幹部が語る、IAMプロジェクトの“正しい”進め方

ユーザーの職務や権限に応じて利用可能なアプリケーションや参照・登録できるデータを詳細に定義し、それらを一元的かつ統合的に管理するアイデンティティ／アクセス管理（IAM：Identity & Access Management）の実現は、ユーザーの利便性の向上やIT管理コストの削減、さらにはセキュリティ・ポリシーの順守といったさまざまなメリットを企業にもたらす。編集部は、先ごろ来日した米国CAのセキュリティ・マネジメント担当シニア・プロダクト・マーケティング・マネジャー、マシュー・ガーディナー（Matthew Gardiner）氏に、同社のIAMへの取り組みについて話を聞いた。（2008年03月13日）

GRCの統合アプローチで、企業価値の向上を目指す

日本版SOX法（金融商品取引法）が2008年4月1日以後に始まる事業年度から適用開始される。今後、企業におけるコンプライアンス活動は、同法への対応を機に構築した内部統制基盤に対して、運用の維持および継続的な改善を図っていくフェーズに入ることになる。その際、経営層、ビジネス・マネジャー、そして自社のITインフラを担うIT部門は、どのようなスタンスで臨めばよいのか。本稿では、GRC（Governance/Risk/Compliance）のアプローチから継続的なコンプライアンスを確立し、企業価値の向上につなげていくための方法論について考察する。（2008年01月23日）

事例に学ぶ、上場企業におけるツールの選定理由と運用状況

多くの企業が全社レベルでコンプライアンスに取り組む今日、IT/IS部門が解決すべき課題も多岐にわたる。コンプライアンスに必要なツールを選定し、適切に運用していくという活動も、そうした課題の1つであろう。本稿では、東芝テックの情報システム部におけるデータベース監査ソフトの導入事例から、その選定に至った背景や運用の状況などについて紹介する。（2007年12月25日）

プロセス・ベースのIT全般統制を実現

今、企業に求められる運用管理の諸課題を解決に導くとされるのが、「ITサービス・マネジメント」というアプローチであり、そのガイドラインであるITILだ。本稿では、ライフサイクル・マネジメントの採用で注目される最新のITILv3と、ITILを参照しながら導入するIT全般統制について解説する。（2007年12月04日）

守りのセキュリティ対策から攻めのリスク管理へ

企業コンプライアンスの重要性が叫ばれるなか、戦略的なコンプライアンス対策を支援する「デジタル・フォレンジック」に注目が集まっている。これは、PCやネットワークのログ情報を適切に収集・管理することによって、インシデントが発生した場合でも、その原因を迅速かつ的確に把握し、必要に応じて証拠情報を適切に開示できる基盤を提供するものだ。本稿では、NPO団体のデジタル・フォレンジック研究会で理事を務める向井徹氏に、その有効性と導入のポイントについて話を聞いた。なお、同氏が提唱するデジタル・フォレンジックとログ管理の方法論に関する詳細は、LANDeskが主催する「IT統制対策」オンラインセミナーで視聴できる。（2007年11月16日）

クライアント環境を襲う各種の脅威に立ち向かう

最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。本稿では、前編で述べたエンドポイント・セキュリティ製品の中から代表的な4製品を取り上げ、それぞれの機能を検証してみたい。（2007年11月15日）