「内部統制のためのログ活用セミナー」
基調講演/パネルディスカッションレポート
内部統制とエンジニアをつなぐのはログだ!
宮田 健
@IT編集部
2007/3/2
エンジニアの視点で語る「ログ活用」
パネリスト: リエンクリプション・テクノロジーズ 川原一郎氏 マクニカネットワークス 一丸智司氏 ビーエスピー 結城淳氏 インテリジェント ウェイブ 小出研一氏 モデレータ: トライコーダ 上野宣氏 |
セミナーの締めくくりとして、「内部統制で本当に必要なログは何か?」と題し、パネルディスカッションが行われた。セッション参加企業の方々をパネリストとして迎え、モデレータは「Security&Trustウォッチ」を連載する上野氏が担当した。ユーザーの立場でどのようにログを活用するか、ということを主眼にしたパネルディスカッションは、終始和やかな雰囲気で本音のトークが行われた。
ログ活用とは「可視化」なり
最初のテーマは「ログ活用とは何か?」という定義から始まった。この問いに対しての回答は「可視化である」と全員が一致した。普段はシステムの定常運用とともに作成され続けているが、日陰の存在であるログに脚光を浴びせ、何が起きているか、何が起きていないかを判断するためにログを「見える化」することがログ活用であるという。
ではログを可視化できたとして、どのような効果が得られるのであろうか。モデレータのこの問いに対しては「ログを取得するということで直接売り上げに貢献するということはない」としたうえで、一丸氏はアメリカでの事例を挙げた。
内部統制で先行するアメリカの場合、不正アクセスだけに注目するのではなく、正しい権限による正常なアクセスの記録もすべて取られているという。これはエンジニアの視点から見るとチェックすべきログの量が増えるため生産性が低く、一見やり過ぎに思える。しかし彼らにとっては、ここまでやっているという事実こそが、自分たちが正しいことをしているという考えの基本になっているという。つまり、ログを取ることでのモラル向上を狙うことができ、間接的ではあるが売り上げ向上につながる可能性があるという指摘である。
 |
| パネルディスカッションの様子 |
ログ管理ツールを買わせる秘策は?
セミナー参加者の事前アンケートで「取得しているログは必要なときに閲覧できますか?」という問いに対して、「閲覧手順が煩雑で困難」が30.1%、「よく分からない」が37.8%と、自社で作成されるログを統合的に閲覧する手法がないというのがほとんどであった。
| 取得しているログは必要なときに閲覧できますか? | |
| すべてのログが統合管理され簡易に閲覧できる | 5.6% |
| 統合管理されていないが比較的簡易に閲覧可能 | 26.5% |
| 閲覧手順が煩雑で困難 | 30.1% |
| よく分からない | 37.8% |
| 表1 ログ閲覧の現状(参加者の事前アンケートより) |
これはほとんどの企業において、ログ管理の手段が浸透していないことを表している。では、ログ管理ツールを導入するにあたり、上司を説得するための良い方法はないか、というテーマで討議を行った。
このテーマに関しては多くのパネリストが「内部統制」や「日本版SOX法」というようなキーワードが有効であることを挙げた。ログ管理というと運用ツールの分野であるという認識が強く、経営者からは楽をしたいだけなのではないかととらえられてしまう可能性がある。そのため、「運用ツールではなく日本版SOX法のツールとして考えるべきである」(川原氏)、「ログ管理ツールをシステムのインフラとして意識させる」(結城氏)ということが重要なのではないかという意見が出た。また、アメリカでのSOX法第404条を例示し、「提出書類に不備があることでCEO、CFOが刑事罰になる可能性がある」(一丸氏)ということも強いメッセージになるという。
さらに、2007年2月15日に金融担当大臣へ提出された、日本版SOX法の実施基準に関連する意見書には、モニタリングについて具体的な記述が見受けられる【参考】。このように法制度による後ろ盾ができたいま、説得する材料はそろいつつある。
| 【参考】 日本版SOX法の「基準」「実施基準」が正式決定 − @IT http://www.atmarkit.co.jp/news/200702/15/sox.html 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書) http://www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.pdf モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。モニタリングにより、内部統制は常に監視、評価及び是正されることになる。モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価がある。両者は個別に又は組み合わせて行われる場合がある(14ページより引用) |
さらに興味深い話として、今回唯一開発者として参加した小出氏は、営業支援で各社を回った経験から「ログ管理のニーズについては、企業のトップは直感でうすうす気付いている」と語った。当然ながら現場の人間も必然としてニーズに気が付いているので、実は理解していないのはその間にいる決裁権者だけではないか、ということだ。そのため、まずは経営陣にニーズを直談判し、さらに上位の決裁権者とあらかじめネゴシエーションしておくというのも有効な方法であるということだ。
ログの活用方法は業務プロセスにより異なるため、取得対象、保存期間、集計項目などの指針を一般化するのは難しい。そのため、計画(plan)、実行(do)、評価(check)、改善(act)のPDCAサイクルを常に回し続けることが重要となる。エンジニアはすでにログと密接に関係している。そこから1歩踏み込んで、ログを活用するとは何かを考えてみてはいかがだろうか。
 |
2/2 |
| Index | |
| 内部統制とエンジニアをつなぐのはログだ! | |
| Page1 ログで「上司の締め付け」ができる?! 「変な動き」を知るために必要な4種のログ アピールこそが予防策、しかしすべてを明かす必要なし |
|
 |
Page2 エンジニアの視点で語る「ログ活用」 ログ活用とは「可視化」なり ログ管理ツールを買わせる秘策は? |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
