全文を読む(SCBフライヤー

金融分野における
ITセキュリティ問題に
立ち向かいましょう
 外部監査人によるコンプライアンス
あなたの重要な資産を守る
 （個人データとファイナンシャルデータ） 
外部委託先企業をどの程度まで信頼していますか？
金融サービスセクターにおいては、管理者とネットワーク責任者が情
報セキュリティとコンプライアンスをより重視することが本質的に重要
です。グローバルな環境では、外部委託または下請け部門、テレコミ
ューティング、遠隔作業者に責任が必然的に関係してきます。この経
済とインフラの新たな現実により、ハイレベルな信頼と管理が必要で
す。盲目的に相手を信頼すると、真実が見えなくなります。SLAを保証
するには、本当の意味での管理が必要です。すべての「アクシデント」
が報告なしに解決されていませんか？システムに実際に何が起こっ
たのかをもっと詳しく知りたいと感じたことはありませんか？アウトソー
シングパートナーの行動を詳しく確認するべきです。
夜、ぐっすりと眠れますか？
適切な解決法や処置を行なうことによって、キーとなる資産の完全な
保全とコンプライアンスの要件を実行するために、金融業で働くマネ
ージャやネットワーク管理者のプレッシャーは絶えず増加しています。
この分野はもっとも慎重に扱うべきデータを扱っているため、データロ
スやデータの侵害に関わるリスクは致命的です。遅れやダウンタイム
のような小さなパフォーマンスの問題でさえも、顧客に取り返しのつか
ないダメージを与えかねません。請求書や顧客データ、取引データの
漏洩は、ビジネスや収入のロス、賠償金に加え、取り返しのつかない
ネガティブな印象を顧客に与えます。
外部委託パートナーの信頼できる管理
内部、または外部のユーザーからの計画された攻撃や間違いから金
融データを守り、完全に保証することは重要です。
公認不正検査士（ACFE）が実施した調査によると、標準的な組織は
収入のおよそ5％を不正で失っています。また、内部不正の83％は犯
罪の経験者ではなく、初犯者の犯行です。
月に何件のセキュリティインシデントを経験していますか？フォレン
ジックのための予算はいくらですか？効率をアップするために、それら
の時間やコストを減らしませんか？
いつ次のITセキュリティ監査を行ないますか？
コンプライアンス規制は、インプリメントがますます困難になる一方、
実現の重要性はますます増しています。サーベンス・オクスリー法
Sarbanes-Oxley Act（SOX）やバーゼルⅡ（Basel Ⅱ regulations）、
PCI-DSSと多くの他のコンプライアンスドライバー(以下を参照)は、あ
なたの顧客の極秘データを安全に保ち、あなたの信用を保つために、
考慮されなければなりません。
Verizon's 2010 Data Breach Investigations Reportによると、データの
侵害の半数近く（48％）が、内部の犯行です。そして、最も監視すべき
部内者は、特権を持つ人たちです。レポートによると、被害者の79％
がPCI-DSSコンプライアンスを達成していなかったことが分かります。
シェルコントロールボックスがお手伝いをします
シェルコントロールボックス（SCB）は、リモートシステムへの特権アクセスをコントロールして、アクティビティを再生と検索可能な監査トレイルに記
録するアプライアンスです。
企業に与える利益
金融分野でのコンプライアンス規制
 Sarbanes-Oxley
 PCI DSS
 SAS 70
 Basel II
 FDIC/OCC/OTS または FFIEC
ITアウトソーシングのコントロール強化
多くの組織はサーバーの構成、維持、監視やITサービスのための
、外部委託を行っています。これは、全てのデータ（たとえばプライ
ベートやビジネスのE-mail、顧客情報など）に加え、ビジネスにおけ
る決定的なサービスのオペレーションさえも、組織が外部委託先の
管理者を信用しなければならないということを意味します。そのよう
な状況で、すべての管理アクティビティを記録する独立したデバイ
スを持っているのは、明らかに心強いことです。SCBは、問題の根
本を明らかにするために、トラブルシューティングやフォレンジック
の状況の詳細な情報を提供します。
コンプライアンス標準に合致
いくつかの分野で、コンプライアンスはより重要になってきていま
す。法律、規則、および工業基準は顧客データのセキュリティに対
する配慮と保護を強制します。結果として、企業はサーバー管理と
リモートシステムアクセスを含むビジネスプロセスの管理と監査能
力を保証しなければなりません。SCBはIT部門で簡単に使用できる
ツールで、特権アクセスと関連のあるアクティビティを監視・監査す
ることができます。SCBを使えば、何百台ものサーバーを1台ずつ
変更する必要なしに、扱いにくいコンプライアンス要件を解決できま
す。




Gramm-Leach-Bliley Act

UK Data Protection Act
Japanese SOX
EU Data Protection Directive
Health Insurance Portability
and Accountability Act (HIPAA)
SCBが企業にできるその他のこと
ファイル転送の管理
SCBはチャンネルの内容を外部のデータ漏洩防止（Data Leakage
Prevention：DLP)システムに送信できます。DLPは機密情報のアク
セス(静止したデータ)と転送(動いているデータ)を認識、追跡し警告
をすることができます。このように組織のDLPポリシーはSSH、SCP
、SFTPのような、いわゆる管理不能な、暗号化されたプロトコルに
拡張することができます。
機密資産を守ります
フォレンジック
ネットワークに誰がアクセスしたか、イベントがいつ起きたか、ユー
ザーがどんなアクションを実行したかを特定します。シェルコントロ
ールボックス（SCB）は、リモートサーバー、バーチャルデスクトップ
、ネットワークデバイスへのアクセスをコントロールして、それらのシ
ステムにアクセスしたユーザーのアクティビティを記録するアプライ
アンスです。例えば、システム管理者としてSSHによりデータベース
サーバーを設定したことや、従業員がVMware Viewでシンクライア
ントアプリケーションを使ってトランザクション処理を行ったことを記
録します。記録された監査トレイルは、まさに起こった通りにイベン
トを再現するためにムービーのように再生できます。監査トレイル
の内容は、イベントの検索や自動レポートが可能になるようにイン
デックスがつけられます。SCBは、PCI-DSSのような多くのコンプラ
イアンスの法令に定められた通りに特権ユーザーのアクセスを監
視するのに特に適しています。
何か問題が起こった場合（サーバーのミスコンフィグレーション、デ
ータベース操作、予期しないシャットダウンなど）、イベントの状況は
監査トレイルから入手できるため、すぐに原因が判明します。記録
された監査トレイルは映画のように再生でき、管理者の全てのアク
ションを再現することができます。あらゆる監査トレイルは、別のイ
ンデックスサーバーに保存され、再生中に早送りをしたり、マウスク
リックやEnterキーを押したかなどのイベントを検索したり、スクリー
ンに表示されたテキストを検索したりすることができます。
世界の顧客
世界中で200以上の顧客が私たちのソリューションを使用していま
す。私たちのパートナーをご参照ください。
パートナー
Fiducia IT AG社





Interoute Communications社
Svenska Handelsbanken AB社
Raiffeisen Süd Tirol社
Dubai Islamic Bank
より詳しい情報が必要なときは私たちの追加ドキュメントをご一読ください。




リモートサーバーアクセス監査のPCIコンプライアンスと
フォレンジック
シェルコントロールボックスSOXシート
クラウドセキュリティリスクとソリューション
シェルコントロールボックスプロダクトデータシート
www.balabit.com