そのログ、活用できていますか

内部統制時代の統合ログ管理を考える


川原 一郎
インフォサイエンス株式会社
プロダクト事業部 マネージャー
2006/12/1
日本版SOX法という言葉はここ数年で一般に知られるようになったが、実際に何をすべきかという点まで理解している人は少ないのではないだろうか。
エンジニアが普段慣れ親しんでいる「ログ」は、さまざまなアプリケーションで出力されている。そのログを内部統制で利用するには、単にログが取られているというだけでは不十分である。 そこで、内部統制の観点から統合ログ管理システムが持つべき機能について紹介する(編集部)

 ログは遍在している

 ログとは、一般的にはコンピュータにおける利用状況や、データ通信の記録を取ったデータのことを指します。具体的にはコンピュータにおける操作やデータの送受信が行われた日時、誰によってどんな操作が行われたのか、どんなデータが送受信されたのか、などの情報が記録されます。

 現在、企業システムで通常運用されているネットワーク機器や業務アプリケーションサーバ、ファイルサーバなどは、必ずといってよいほどログを出力しています。さらにはセキュリティ対策として、各PCクライアントの操作ログを取得するようなシステムも多く導入されているでしょう。企業には想像以上の数、想像以上の種類のログが存在しているのです。

 ログの取得・管理の必要性

 では、なぜログの取得が重要なのでしょうか。これまでログは、システムが正常に稼働しているのかどうかを確認するためのものという位置付けであることが多かったかと思います。ところが、個人情報保護法が施行されたり、Winnyのようなファイル共有ソフトに起因する情報漏えいが多発するようになって、ログの活用が注目されるようになりました。

 例えば社内のファイルサーバに置かれた重要な機密情報ファイルが漏えいした疑いがあるということが起こった際に、情報セキュリティ担当部門はどうやって調査するでしょうか? ファイルサーバへのアクセスログやPCクライアントの操作ログ、さらにはオフィスへの入退室ログなどを横断的に調査する必要があるでしょう。果たして自社システムではこれらのログがちゃんと取られているでしょうか? システム間を横串で検索可能になっているでしょうか?

 さらには、「日本版SOX法」や「e文書法」などにより、ログは内部統制やコンプライアンス、情報漏えい対策において非常に重要な役割を果たすようになってきています。

 中でも日本版SOX法においては、上場企業に対して財務情報に不正や誤りがないよう、監視やチェックの仕組みを整備することを目的としており、いわゆる内部統制の整備が重要となってきます。今日、企業の財務システムのほとんどはITシステムで管理されていると考えられます。そこでの業務プロセスの正当性を証明するためには、その業務システムのログを管理することが重要となります。

 2006年11月6日、金融庁より「企業会計審議会第14回内部統制部会 議事次第」が公開されました。そこで公開された「第14回内部統制部会配付資料」は、

  • (資料1−1)内部統制の基本的枠組み(案)
  • (資料1−2)財務報告に係る内部統制の評価及び報告(案)
  • (資料1−3)財務報告に係る内部統制の監査(案)
  • (資料2)参考資料

という4つのファイルからなります。

 これは日本版SOX法におけるITの内部統制に関する実務的なガイドラインと呼べる内容です。資料1−3の「ITに係る全般統制の評価」では、次のような点において有効に整備および運用されているかを評価することと書かれています。

  • システムの開発、変更、保守
  • システムの運用・管理
  • 内外からのアクセス管理などのシステムの安全性の確保
  • 外部委託に関する契約の管理

 こうした内部統制の有効性の評価において、ログが重要な役割を果たしていくことは間違いありません。また、ログが取得できているだけでなく、各システムのログを横断的に集計した監査に使えるようなレポートを作れることが重要となってくるでしょう。

 ログ管理の問題点

 ログ管理を行ううえで考えられる問題点をいくつか挙げてみたいと思います。

●一元管理ができていない

  今日では、あらゆるシステムにおいてログが出力されます。例えば、ファイアウォールやルータなどのネットワーク機器、メールサーバやファイルサーバなどの基幹サーバ、各種業務システムなど、システムごとにログはたまっていきます。これらのログは各サーバに点在し、その閲覧方法も専用アプリケーションを用いたり、CUIベースでコマンドを使ったりとさまざまです。

 こうしたログが点在する状況では、いざ「重要な情報にいつ誰がどのくらいアクセスしたのか調べたい」などといった場合に、必要なログがどこにあって、どうやって見たらよいのか分からないといった事態になりかねません。

●統計が取りにくい

 ログがシステムごとに各サーバに散らばっており、かつテキストファイルで保存されているだけだとしたら、横断的に検索したり、集計したりすることは容易ではありません。

 システムの利用状況やアクセス状況などを基に統計を取りたい場合、異なる形式のログを組み合わせた集計が必要となることが考えられますが、各サーバにログが点在している状況ではどこに必要な情報があるのか分かりづらく、集計してグラフ化するなどの統計データを作ることは困難といえます。

●保全・保管

  最近よく「フォレンジック」という言葉を耳にするかと思います。コンピュータ関連でフォレンジックという言葉を用いる場合は、不正アクセスや情報漏えいといった犯罪行為や、訴訟ざたになり得るリスクに備えて、法廷で用いることができるような不正行為が行われたであろう痕跡や証拠を残すための取り組みを指すことであり、中でもログは事故・事件が起きた際の法的証拠として重要なものになってきます。

 単に問題が起こった際の原因究明のためにログを活用するだけではなく、法的証拠としても重要な意味を持つようになってくると、ただログをたくさんためておくだけでなく、いかに証拠保全していくか、またいかに安全に保管していくのかといった運用面も考えなければならないでしょう。

●改ざん
 ログが重要な意味を持ってくると、それが正当なログであるのかということも重要になってきます。証拠隠滅のために、ログを改ざんされてしまっては証拠として通用しなくなってしまいます。

 例えばサーバのアクセスログなどは不正な攻撃者からのアクセスの痕跡を調べることができますが、攻撃者はその痕跡を隠すためにログを改ざんしようとするでしょう。ログが改ざんされていない正当なものであることを証明できなければ、法的証拠としては使えません。

1/2

Index
内部統制時代の統合ログ管理を考える
Page1
ログは遍在している
ログの取得・管理の必要性
ログ管理の問題点
  Page2
統合ログ管理の必要性
統合ログ管理システムが持つべき機能
内部統制に向けてのログ管理とは

関連記事
  Security&Trustフォーラム ログ管理関連記事インデックス
  Security&Trustフォーラム セキュリティ監査関連記事
  Security&Trustフォーラム フォレンジック関連記事
  @IT情報マネジメント ゼロから分かるログ活用術

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間