IT業界において、監査と税金ほど怖いものはありません。税金はあまり役に立ちませんが、IT監査はVDI環境であっても心配する必要はありません。
内部監査、外部監査、セキュリティ監査など、組織にはさまざまな監査が存在します。VDI環境でIT監査を実施する場合、***防御は攻撃です。
内部監査または外部監査に関連するすべてのVDIログファイルまたはその他の運用データを収集、保存、保護する包括的なプロセスがあることを確認します。外部コンプライアンス監査を想定して、VDI 環境の業務関連データも保存および保護する必要があります。ほとんどの専門家は、監査が実施される場合に備えて、関連するデータと記録を少なくとも 7 年間保存することを推奨しており、政府の各種ガイドラインもこれを義務付けています。
誰が誰を監査しているのですか?
VDI環境を監査する際にまず考慮しなければならないのは、誰が監査を行うのか、そして監査は誰を対象としているのかということです。ほとんどの大企業には内部監査役がおり、その監査役はすべての内部ポリシーと手順が規制に適合していることを確認する義務があります。
IT分野に存在する難解な用語やプロセスを考慮すると、企業はITシステムや運用を監査するために、監査人を特別に訓練している可能性があります。会社に雇われた独立系会計事務所であれ、まれに政府、規制機関、法執行機関から派遣された監査人であれ、VDI環境は外部監査の対象となります。誰が質問するのか、なぜその質問が重要なのかを知ることが重要です。監査への準備を徹底し、ITと企業全体を守りましょう。
IT監査の種類
SOX法コンプライアンス監査:2002年に成立したサーベンス・オクスリー法は、年間売上高750万ドル以上の上場企業の最高経営責任者(CEO)および最高財務責任者(CFO)に対し、一般に公表または政府に提出される四半期財務諸表および年次財務諸表の正確性を確保する義務を課しています。
その結果、IT部門はSOX法コンプライアンス監査に備えて記録を確実にアーカイブする義務を負うことになり、監査情報の保持の重要性がオプションから法的要件に変わりました。SOX法では、すべての企業の「記録」を最低7年間保持することが義務付けられています。財務諸表を作成するために使用されるスプレッドシートや財務システム、財務実績に関連する社内メール、財務諸表そのものなど、企業の財務の健全性に関する情報を含むほとんどすべての文書やデータが記録と呼ばれます。
サーバログファイルの監査VDIがHyper-Vサーバ上で実行されている場合、監査目的でどのWindows Serverイベントログをアーカイブするかを検討する必要があります。LinuxまたはUnixサーバでは、関連データを保持し、将来の監査要件を満たすために、標準的なサーバのログファイルを評価する必要があります。さらに、ユーザのデスクトップ・データと同様に、どの仮想マシンをアーカイブする必要があるかを慎重に検討します。例えば、CEOとCFOが日常業務で仮想デスクトップを使用し、会社がSarbanes-Oxleyに準拠する必要がある場合、外部監査や訴訟のために、彼らのデスクトップと関連データが定期的にアーカイブされるようにします。
企業が政府規制に準拠するためのソフトウェアツールや、個別のデータソースからデータを収集し、ストレージにアーカイブするログ統合ツールがあります。
サーバやアプリケーションのセキュリティ・ログは、このようなセキュリティ侵害の調査にとって非常に重要であることは間違いありません。ログは、データ損失を確認し、セキュリティ侵害の場所を特定するための唯一の手がかりです。情報漏えいが発生した場合、VDI環境のセキュリティ・ログは今後の調査にとって非常に重要です。このようなログには、基盤となるハイパーバイザ・プラットフォームのサーバ・ログ、VDI環境を支える仮想マシンのログ、および内部ユーザのデスクトップに関連するデータが含まれる可能性があります。
災害復旧監査。災害復旧監査は通常、災害復旧テストまたは実際の災害復旧イベントの後に実施され、災害復旧 計画が効果的であるかどうかを判断します。確認された災害RTOの範囲内で、すべての災害復旧計画にVDI環境の再構成に必要なすべての復旧手順が含まれていることを確認します。災害復旧テストの機会を活用し、災害復旧計画が機能すること、およびユーザのデスクトップが最短時間でバックアップされ、運用できることを確認します。
将来のIT監査を実施するために、対象となる可能性のあるものをすべて収集、整理、保管することは、全面的なコミットメントを必要とする作業です。この作業は重要ですが、簡単ではありません。
