情報セキュリティ対策やコンプライアンス対応に「待った」は通用しない。情報漏えいや業務の不正処理は、企業が築き上げてきた信頼を一瞬のうちに崩してしまう。最悪の事態を未然に防ぐと共に、万が一問題が起きたら、速やかに再発防止策を打つ。それを可能にする仕組みが、情報システムの操作や処理の履歴を保存・利用する「統合ログ管理」である。セキュリティ問題の発生が跡を絶たない中、改めて脚光を浴びているログ管理について、現状と展望を解説する。
※本稿はインテック発行の「インテック テクニカルジャーナルVol.9」(2009年5月発行)の記事に加筆・編集して掲載しています。
個人情報保護法が2003年に成立したのに続き、2008年には日本版SOX法が施行された。こうした法整備に伴い、企業は様々な形で情報セキュリティ対策に迫られることになった。一方でセキュリティ管理の対象領域は広がり続けており、情報セキュリティ対策を効率よく、かつ不備なく実施するにはITの活用を避けて通れない状況である。
情報セキュリティ対策に取り組む企業にとって特に悩ましいのは「ログ」の管理だろう。会計や販売管理などの各種業務システムはもとより、ファイアウオールやルーターといったネットワーク機器、情報セキュリティ対策のために導入したアクセスコントロール製品なども操作や処理の履歴をログとして大量に出力するからである。
そ んな中、多種で大量のログの保存や分析を支援する統合ログ管理ツールに対する注目度が高まってきた。本記事ではログ管理が求められる背景やログ管理の対象範囲、国内の製品事情などを整理する。
統制を徹底できるかはログの管理が鍵に
ひと口に情報セキュリティ対策やコンプライアンス対応といっても、実施すべき内容は多岐にわたる。内部統制を確実に実施するにしても、考え方は2つに分けられる。狭義の内部統制と広義の内部統制への対応である。
狭義の内部統制は、主に日本版SOX法に従うためのものである。企業が同法を遵守するには、監査人の要求に応じて速やかに情報を提示する体制と環境を社内に整備しなければならない。これに対して広義の内部統制は、日本版SOX法だけでなく新会社法など他の法令を含め、企業や従業者の日々の業務活動全般を見通した対策を講じなければならない。
内部統制には狭義と広義の2種類に加えて、予防的統制と発見的統制という視点も必要になる。前者は「コンプライアンスを脅かすような問題の発生を食い止める」という視点、後者は「万が一にも問題が生じた場合に原因究明と適切な対応策を実施する」という視点である。風邪をひいて体調を崩さないように予防注射を受けるのが予防的統制、風邪をひいた後に病院で症状や原因を診断してもらい適切な処方を受けるのが発見的統制、と考えるとイメージしやすいだろう(図1)。
本記事は内部統制の専門的な解説をすることが主旨ではないので、それぞれについて詳述はしない。ここで強調しておきたいのは、情報セキュリティ対策やコンプライアンス対応は常に多面的な視点が求められること。そして各種対策を確実に実施し、企業内の統制を徹底できるかどうかの鍵をログ管理が握っているという点である。
ログ管理の取り組みが活発化、市場は年間約10%で成長
ログ管理の重要性については、経済産業省が「平成19年度情報セキュリティ市場調査報告書」の中で次のように指摘している。
近年多発している情報漏洩事件に対して、不正アクセス・不正行為の記録を追跡するためにもログ確保の重要性は増しており、その機能としても単一のシステムのログを分析するだけでなく、複数のシステムの大量なログを統合し統計分析を行える機能や、証拠保全のためのログの改ざん防止機能を保有している必要がある。また、日本版SOX法において要求されるIT統制の有効性を証明するために導入されるケースも増加しており、今後も需要が見込まれていく分野であると考えられる。
現に近年、企業のログ管理の取り組みは活発になってきた。同報告書によると、国内のシステムセキュリティ管理製品の市場規模は拡大傾向にあり、平成17年度に約275億円だった市場が平成20年度には1.8倍の約498億円を超えると予測されている(表1)。中でもログ管理の製品が属する「その他のシステムセキュリティ管理製品」のカテゴリは、平成18年度に前年度比で53.7%成長を記録した後も、年間10%前後の割合で拡大している。
保存と利用の両面でログ管理を実践する
では、企業が実際にログ管理に取り組むとき、どういった点に配慮したらよいのだろうか。経産省が公表している「システム管理基準追補版」に次の記述がある。「システム管理基準」は同省が1985年に策定したもので、多くの企業が情報セキュリティ対策の参考にしている。2004年に改定した後、2006年6月の日本版SOX法の成立とほぼ同時期に追補版を出した。
「システム管理基準追補版 第IV章 p.26 3 - (2) - 1 - ヘ」
企業に、ログ採取に関する方針があることを確かめる。次に、必要なログ(不正操作等のモニタリングに必要な項目)が記録され、保管されていること、また、保存されたログを利用できることを確かめる。
統制が機能しているかどうかを評価する際の手続きについて言及した短い文章だが、ログ管理において見逃せないフレーズが含まれている。それは「必要なログが記録されている」と「保存されたログを利用できる」の2つだ。
必要なログの記録とは文字通り、システムの操作や処理の履歴を確実に蓄積していくことを意味している。これに対してログの利用は、保存してあるログを検索して不正などのリスクにつながる兆候がないか分析したり、インシデント(事故につながるような事象)が発生したときに原因を究明して再発防止策を講じたりすることを意味している。
保存と利用のいずれか一方の仕組みが欠けてもログ管理としては不十分であり、結果として情報セキュリティ対策の適切な運用は困難になる。追補版の内容は裏を返せば、このように捉えることもできる。
会員登録(無料)が必要です
- ERP導入企業は34.8%、経営改革や業績管理に活用する動きも─ERP研究推進フォーラム/IT Leaders共同調査(2013/02/07)
- ツールの効果的活用で機能品質高め─テスト工程のあり方を見つめ直す(2013/01/29)
- IaaSを利用する際、これだけは押さえておきたいセキュリティのツボ(2012/10/18)
- これからIT部門が育てるべき人材像とは(2012/08/24)
- ベテラン社員に技術やノウハウが偏在、情報システム部門の技能継承が課題に(2012/07/19)
