【Security Solution Vol.3】NTTコムのSaaSログ集計と声紋認証サービス | RBB TODAY

【Security Solution Vol.3】NTTコムのSaaSログ集計と声紋認証サービス

 Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。

エンタープライズ その他
 Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。
  •  Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。
  •  Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。
  •  Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。
  •  Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。
  •  Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。
  •  Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。
  •  Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。
  •  Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。
 Security Solution 2008では、NTTコミュニケーションズ 金融イノベーションシステム部 金融ビジネス部門担当部長 山口伸弥氏によるセミナー「SaaSビジネスモデルが業務を進化させる!本人を特定するIT統制運用とその実現」が行われた。

 同氏はまず、「“ガバナンス”と言う言葉が一人歩きをして正しく理解されていない。セキュリティは“防御”、ガバナンスは“管理”をするということ。“ガバナンスは大変そうでうちはできない”という話をする人がいる。しかし、セキュリティ対策の方が幅広く知識を持っていなければならない」とした。

 そのうえで、日々の業務の一例として、業務システムからCSV形式でデータをエクスポート、Excelで表に加工しWorldに貼り付けてレポートを作成、Excelファイルを印刷、USBメモリにコピーをして持ち出しまたはWebメールで送信、という流れをあげた。いずれも正当な業務だが、「情報漏えいは、紙に印刷またはUSBメモリーなどで持ち出して発生するケースが多い」と危険があることを示した。

 これまでのポリシーや対策としては、業務システムはアクセスの制限を強化する、シンクライアントの導入、印刷の制限、USBメモリやWeb利用の監視や制限を行っていた。これらの実施には、「ログの収集は基本的だが重要。ぜひ、やっていただきたい」とする。

 しかし、「ログの収集を行うと、担当者の負担が増える」とするログの集計ツールを導入してポリシーの不適合リストを生成しても、「ポリシーの不適合リストはすぐに出してくれるが棚にしまって山になってしまう」というのが現状だ。「明確な評価がないと、何をやりたいか、何を監視するか、何のログを取るか、パフォーマンスレポートが分からない」とする。

 同社では、これらの問題を解決するサービス「統制運用アシュアランスサービス」を提供している。一般的なログの集計ツールでは、セキュリティポリシーに不適合なレポートを出力するだけだ。このサービスではもう一歩踏み込んで、全体的な統制運用パフォーマンスを測定し評価、主に経営者向けのレポートを作成する。経営者はこれをもとにIT運用の効率性や投資や戦略の有効性が判断できる。

 このように統制運用アシュアランスサービスは、「セキュリティではなくガバナンスの見地から考えたサービス」だとした。

 管理するPCへのソフトのインストールは不要で、価格は1クライアント数百円程度。SaaSで提供するため、初期費用も低く抑えられる。

 SaaS型の認証サービスとして電話を利用した認証方式「VoiceID」も紹介した。ネットバンクへのログインの場合、IDとパスワードによるログイン後に、指定された番号に電話をかけ、指示に従い声でパスワードを話すと認証が終了し、自動的にログインするという流れ。「認証に必要な作業は、電話をかけて一言、話すだけ。簡単だけど強力な認証。認証しているという意識がない」とアピールした。

 これだけの操作にも関わらず、発信電話番号、登録したキーフレーズ(言葉)、声紋の3つで本人を確認する。声紋認証の精度は99%であり「指紋に負けた技術」とするものの、これら3つの確認を行っているため、精度は指紋などを超えると自信を示した。

 生体認証のほかに、ICカードやトークンを用いた認証方式もあるが、「“物”を認証しているのであって、本人を認証しているわけではない」と指摘。しかし音声認識だと、物ではなく本人でないと認証ができないという特徴をあげている。
《安達崇徳》

特集

page top