そのログ、活用できていますか
内部統制時代の統合ログ管理を考える
川原 一郎
インフォサイエンス株式会社
プロダクト事業部 マネージャー
2006/12/1
日本版SOX法という言葉はここ数年で一般に知られるようになったが、実際に何をすべきかという点まで理解している人は少ないのではないだろうか。
エンジニアが普段慣れ親しんでいる「ログ」は、さまざまなアプリケーションで出力されている。そのログを内部統制で利用するには、単にログが取られているというだけでは不十分である。 そこで、内部統制の観点から統合ログ管理システムが持つべき機能について紹介する(編集部)
ログは遍在している
ログとは、一般的にはコンピュータにおける利用状況や、データ通信の記録を取ったデータのことを指します。具体的にはコンピュータにおける操作やデータの送受信が行われた日時、誰によってどんな操作が行われたのか、どんなデータが送受信されたのか、などの情報が記録されます。
現在、企業システムで通常運用されているネットワーク機器や業務アプリケーションサーバ、ファイルサーバなどは、必ずといってよいほどログを出力しています。さらにはセキュリティ対策として、各PCクライアントの操作ログを取得するようなシステムも多く導入されているでしょう。企業には想像以上の数、想像以上の種類のログが存在しているのです。
ログの取得・管理の必要性
では、なぜログの取得が重要なのでしょうか。これまでログは、システムが正常に稼働しているのかどうかを確認するためのものという位置付けであることが多かったかと思います。ところが、個人情報保護法が施行されたり、Winnyのようなファイル共有ソフトに起因する情報漏えいが多発するようになって、ログの活用が注目されるようになりました。
例えば社内のファイルサーバに置かれた重要な機密情報ファイルが漏えいした疑いがあるということが起こった際に、情報セキュリティ担当部門はどうやって調査するでしょうか? ファイルサーバへのアクセスログやPCクライアントの操作ログ、さらにはオフィスへの入退室ログなどを横断的に調査する必要があるでしょう。果たして自社システムではこれらのログがちゃんと取られているでしょうか? システム間を横串で検索可能になっているでしょうか?
さらには、「日本版SOX法」や「e文書法」などにより、ログは内部統制やコンプライアンス、情報漏えい対策において非常に重要な役割を果たすようになってきています。
中でも日本版SOX法においては、上場企業に対して財務情報に不正や誤りがないよう、監視やチェックの仕組みを整備することを目的としており、いわゆる内部統制の整備が重要となってきます。今日、企業の財務システムのほとんどはITシステムで管理されていると考えられます。そこでの業務プロセスの正当性を証明するためには、その業務システムのログを管理することが重要となります。
2006年11月6日、金融庁より「企業会計審議会第14回内部統制部会 議事次第」が公開されました。そこで公開された「第14回内部統制部会配付資料」は、
- (資料1−1)内部統制の基本的枠組み(案)
- (資料1−2)財務報告に係る内部統制の評価及び報告(案)
- (資料1−3)財務報告に係る内部統制の監査(案)
- (資料2)参考資料
という4つのファイルからなります。
これは日本版SOX法におけるITの内部統制に関する実務的なガイドラインと呼べる内容です。資料1−3の「ITに係る全般統制の評価」では、次のような点において有効に整備および運用されているかを評価することと書かれています。
- システムの開発、変更、保守
- システムの運用・管理
- 内外からのアクセス管理などのシステムの安全性の確保
- 外部委託に関する契約の管理
こうした内部統制の有効性の評価において、ログが重要な役割を果たしていくことは間違いありません。また、ログが取得できているだけでなく、各システムのログを横断的に集計した監査に使えるようなレポートを作れることが重要となってくるでしょう。
ログ管理の問題点
ログ管理を行ううえで考えられる問題点をいくつか挙げてみたいと思います。
●一元管理ができていない
今日では、あらゆるシステムにおいてログが出力されます。例えば、ファイアウォールやルータなどのネットワーク機器、メールサーバやファイルサーバなどの基幹サーバ、各種業務システムなど、システムごとにログはたまっていきます。これらのログは各サーバに点在し、その閲覧方法も専用アプリケーションを用いたり、CUIベースでコマンドを使ったりとさまざまです。
こうしたログが点在する状況では、いざ「重要な情報にいつ誰がどのくらいアクセスしたのか調べたい」などといった場合に、必要なログがどこにあって、どうやって見たらよいのか分からないといった事態になりかねません。
●統計が取りにくい
ログがシステムごとに各サーバに散らばっており、かつテキストファイルで保存されているだけだとしたら、横断的に検索したり、集計したりすることは容易ではありません。
システムの利用状況やアクセス状況などを基に統計を取りたい場合、異なる形式のログを組み合わせた集計が必要となることが考えられますが、各サーバにログが点在している状況ではどこに必要な情報があるのか分かりづらく、集計してグラフ化するなどの統計データを作ることは困難といえます。
●保全・保管
最近よく「フォレンジック」という言葉を耳にするかと思います。コンピュータ関連でフォレンジックという言葉を用いる場合は、不正アクセスや情報漏えいといった犯罪行為や、訴訟ざたになり得るリスクに備えて、法廷で用いることができるような不正行為が行われたであろう痕跡や証拠を残すための取り組みを指すことであり、中でもログは事故・事件が起きた際の法的証拠として重要なものになってきます。
単に問題が起こった際の原因究明のためにログを活用するだけではなく、法的証拠としても重要な意味を持つようになってくると、ただログをたくさんためておくだけでなく、いかに証拠保全していくか、またいかに安全に保管していくのかといった運用面も考えなければならないでしょう。
●改ざん
ログが重要な意味を持ってくると、それが正当なログであるのかということも重要になってきます。証拠隠滅のために、ログを改ざんされてしまっては証拠として通用しなくなってしまいます。
例えばサーバのアクセスログなどは不正な攻撃者からのアクセスの痕跡を調べることができますが、攻撃者はその痕跡を隠すためにログを改ざんしようとするでしょう。ログが改ざんされていない正当なものであることを証明できなければ、法的証拠としては使えません。
1/2 |
 |
| Index | |
| 内部統制時代の統合ログ管理を考える | |
 |
Page1 ログは遍在している ログの取得・管理の必要性 ログ管理の問題点 |
| Page2 統合ログ管理の必要性 統合ログ管理システムが持つべき機能 内部統制に向けてのログ管理とは |
|
| 関連記事 | |
| Security&Trustフォーラム ログ管理関連記事インデックス | |
| Security&Trustフォーラム セキュリティ監査関連記事 | |
| Security&Trustフォーラム フォレンジック関連記事 | |
| @IT情報マネジメント ゼロから分かるログ活用術 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
