日本CAは4月14日、アクセス管理製品の最新版「CA Access Control r12 SP1 Premium Edition」を発表した。今回のバージョンアップでは、日本版SOX法の施行を受けて、顧客から寄せられた内部統制を強化するためのニーズを機能として盛り込んでいる。

日本CA メインフレーム・ソリューション営業部兼セキュリティ・ソリューション営業部 部長 張統氏

記者説明会では、初めに同社でメインフレーム・ソリューション営業部兼セキュリティ・ソリューション営業部部長を務める張統氏から、アクセス管理に対する企業の需要のトレンドについて説明がなされた。

同氏によると、企業はアクセス管理を行う際、情報漏洩、IT全般統制で求められる正当性の担保、「内部統制報告書制度」における監査での指摘、監査のシンプル化、特権ID管理など、主に内部統制を強化することを目的としているという。なかでも、特権IDの管理は「アクセス管理の最大の課題であるとともに、製品の差別化ポイントでもある」(同氏)。

日本CA マーケティング部 プロダクトマーケティングマネージャー 金子以澄氏

また、マーケティング部プロダクトマーケティングマネージャーである金子以澄氏は、同製品の特徴について、「企業ではさまざまなOSが使われているが、それらのセキュリティレベルはまちまち。CA Access Controlは各OSにおいて不足している機能を補って、法令が求めるセキュリティレベルにまで引き上げることができる」と説明。

同製品の主要機能は、「リソースアクセスの制限」、「特権ユーザーIDの管理」、「ログイン・経路の制限」、「ログ管理とレポーティング」、「Webベースのインタフェースによる一元管理」である。これらのうち、内部統制の強化において特に効果的なのが、特権ユーザーID管理とログ管理・レポーティングだ。

UNIXの特権ユーザーIDの管理においては、SUコマンドで管理者権限を得たユーザーをログインユーザーIDに基づいたアクセス制御が行えるため、業務に応じたアクセス権限の割り当てが可能だ。また、実IDに加えて、実効IDもイベントログに記録することができる。

実IDと実効IDの両方をイベントログに記録することができるCA Access Control r12 SP1 Premium Edition

これまで、ユーザーが行ったことを記録するログ機能は備えていたが、日本版SOX法が求める「予防的コントロール」への対策として、「誰が何をできるのか」を記録するレポートが欲しいという声が顧客から寄せられたため、ポリシーベースのレポーティング機能が追加されたという。さらに、IT内部統制に関するレポートのテンプレートが標準で提供されるため、即座にレポーティングを始められる。

加えて、仮想化環境への対応も強化されている。ゲストVMだけでなく、ホストVMのセキュリティ強化が行え、また、VMware ESX Serverなどの仮想化環境でのアクセス制御のポリシーテンプレートが追加された。

同製品の参考価格は5ライセンスで240万円。今回、価格体系がマシン能力による課金から管理するOSインスタンス数による課金に変更されており、「利用実績に近い課金が可能になり、これまでよりも安価になる」(張氏)とのこと。