システムログが支える情報セキュリティ対策

統合管理で「効率」と「万全」を両立

情報セキュリティ対策やコンプライアンス対応に「待った」は通用しない。情報漏えいや業務の不正処理は、企業が築き上げてきた信頼を一瞬のうちに崩してしまう。最悪の事態を未然に防ぐと共に、万が一問題が起きたら、速やかに再発防止策を打つ。それを可能にする仕組みが、情報システムの操作や処理の履歴を保存・利用する「統合ログ管理」である。セキュリティ問題の発生が跡を絶たない中、改めて脚光を浴びているログ管理について、現状と展望を解説する。
※本稿はインテック発行の「インテック テクニカルジャーナルVol.9」（2009年5月発行）の記事に加筆・編集して掲載しています

個人情報保護法が2003年に成立したのに続き、2008年には日本版SOX法が施行された。こうした法整備に伴い、企業は様々な形で情報セキュリティ対策に迫られることになった。一方でセキュリティ管理の対象領域は広がり続けており、情報セキュリティ対策を効率よく、かつ不備なく実施するにはITの活用を避けて通れない状況である。

情報セキュリティ対策に取り組む企業にとって特に悩ましいのは「ログ」の管理だろう。会計や販売管理などの各種業務システムはもとより、ファイアウオールやルーターといったネットワーク機器、情報セキュリティ対策のために導入したアクセスコントロール製品なども操作や処理の履歴をログとして大量に出力するからである。

そんな中、多種で大量のログの保存や分析を支援する統合ログ管理ツールに対する注目度が高まってきた。本記事ではログ管理が求められる背景やログ管理の対象範囲、国内の製品事情などを整理する。

統制を徹底できるかはログの管理が鍵に

ひと口に情報セキュリティ対策やコンプライアンス対応といっても、実施すべき内容は多岐にわたる。内部統制を確実に実施するにしても、考え方は2つに分けられる。狭義の内部統制と広義の内部統制への対応である。

狭義の内部統制は、主に日本版SOX法に従うためのものである。企業が同法を遵守するには、監査人の要求に応じて速やかに情報を提示する体制と環境を社内に整備しなければならない。これに対して広義の内部統制は、日本版SOX法だけでなく新会社法など他の法令を含め、企業や従業者の日々の業務活動全般を見通した対策を講じなければならない。

内部統制には狭義と広義の2種類に加えて、予防的統制と発見的統制という視点も必要になる。前者は「コンプライアンスを脅かすような問題の発生を食い止める」という視点、後者は「万が一にも問題が生じた場合に原因究明と適切な対応策を実施する」という視点である。風邪をひいて体調を崩さないように予防注射を受けるのが予防的統制、風邪をひいた後に病院で症状や原因を診断してもらい適切な処方を受けるのが発見的統制、と考えるとイメージしやすいだろう（図1）。

図1　予防的統制と発見的統制（画像をクリックで拡大）

本記事は内部統制の専門的な解説をすることが主旨ではないので、それぞれについて詳述はしない。ここで強調しておきたいのは、情報セキュリティ対策やコンプライアンス対応は常に多面的な視点が求められること。そして各種対策を確実に実施し、企業内の統制を徹底できるかどうかの鍵をログ管理が握っているという点である。

ログ管理の取り組みが活発化
市場は年間約10％で成長

ログ管理の重要性については、経済産業省が「平成19年度情報セキュリティ市場調査報告書」の中で次のように指摘している。

近年多発している情報漏洩事件に対して、不正アクセス・不正行為の記録を追跡するためにもログ確保の重要性は増しており、その機能としても単一のシステムのログを分析するだけでなく、複数のシステムの大量なログを統合し統計分析を行える機能や、証拠保全のためのログの改ざん防止機能を保有している必要がある。また、日本版SOX法において要求されるIT統制の有効性を証明するために導入されるケースも増加しており、今後も需要が見込まれていく分野であると考えられる。

現に近年、企業のログ管理の取り組みは活発になってきた。同報告書によると、国内のシステムセキュリティ管理製品の市場規模は拡大傾向にあり、平成17年度に約275億円だった市場が平成20年度には1.8倍の約498億円を超えると予測されている（表1）。中でもログ管理の製品が属する「その他のシステムセキュリティ管理製品」のカテゴリは、平成18年度に前年度比で53.7％成長を記録した後も、年間10％前後の割合で拡大している。

表1　国内システムセキュリティ管理製品市場規模（実績と予測）（画像をクリックで拡大）

保存と利用の両面でログ管理を実践する

では、企業が実際にログ管理に取り組むとき、どういった点に配慮したらよいのだろうか。経産省が公表している「システム管理基準追補版」に次の記述がある。「システム管理基準」は同省が1985年に策定したもので、多くの企業が情報セキュリティ対策の参考にしている。2004年に改定した後、2006年6月の日本版SOX法の成立とほぼ同時期に追補版を出した。

「システム管理基準追補版 第IV章 p.26　3 - （2） - 1 - ヘ」

企業に、ログ採取に関する方針があることを確かめる。次に、必要なログ（不正操作等のモニタリングに必要な項目）が記録され、保管されていること、また、保存されたログを利用できることを確かめる。

統制が機能しているかどうかを評価する際の手続きについて言及した短い文章だが、ログ管理において見逃せないフレーズが含まれている。それは「必要なログが記録されている」と「保存されたログを利用できる」の2つだ。

必要なログの記録とは文字通り、システムの操作や処理の履歴を確実に蓄積していくことを意味している。これに対してログの利用は、保存してあるログを検索して不正などのリスクにつながる兆候がないか分析したり、インシデント（事故につながるような事象）が発生したときに原因を究明して再発防止策を講じたりすることを意味している。

保存と利用のいずれか一方の仕組みが欠けてもログ管理としては不十分であり、結果として情報セキュリティ対策の適切な運用は困難になる。追補版の内容は裏を返せば、このように捉えることもできる。

一筋縄ではいかない管理対象の見極め

いざログ管理を実践しようとしたときに企業が真っ先に直面する壁は、管理対象の見極めだ。業務の隅々までITが入り込んでいる今、対象となり得るシステムがたくさん存在するうえに、企業によってシステム環境が異なるため、どのシステムや機器のログを保存しておけば大丈夫か“正解”がないのである。

基幹系システムを起点に考えても、ログ管理の範囲は思いのほか広いことが分かる。基幹系システムには通常、受発注や在庫管理、生産管理の業務を遂行する中で、「いつ誰がどのような内容の申請・承認を経て何を実行したか」という一連の手続きがログとして記録される。手続きの結果はデータベースに格納されるが、データベースについても「いつ誰がどのような情報を書き込み、あるいは削除したのか」といった履歴を保存しておく必要がある。

基幹系システムのログの中には、それだけでは手続きの過程を把握するのに十分と言えないものもある。その典型例が旅費や交通費といった経費だ。申請・承認をグループウェアで実行し、承認が得られた結果だけを基幹系システムに反映する。こうしたケースでは、基幹系システム側に申請・承認に関するログが残らないため、グループウェアで処理した申請・承認のフローをログとして保存しておかなければならない。

ビル入退館管理システムやパソコンの検疫ツールも対象に

基幹系システムやデータベースのほかに、アイデンティティ管理システムやアクセスコントロールシステムなども、ログ管理の対象に含める必要がある（図2）。当社が多くの企業へログ管理製品を導入してきた経験では、業務レポートやそれに関連するグラフを保存しているファイルサーバーの操作履歴のほか、社内外からオフィスへ出入りした人の状況を管理するビルの入退館管理システムのログを残すケースも増えている。

図2　監視対象となるシステムおよびセキュリティ管理ツールの例

それから、ログ管理の対象として忘れてはならないのが、情報セキュリティ対策のために導入したツール群である。セキュリティ対策ツールもユーザー企業のニーズに応える形で細分化された用途ごとに製品が存在する。そうしたこともあって、大半の企業が自社の導入目的に合わせて複数のセキュリティ対策ツールを導入している。

例えば、システムの不正操作を抑止する目的で、従業員が使うパソコン操作のログを取得するためのツールを導入し、アップロード/ダウンロードといったファイルの操作や、アプリケーションを起動した履歴を管理する企業は多い。WinnyやWinMXに代表されるファイル共有ソフトのインストールや、未認証のパソコンの社内ネットワーク接続を防止する検疫ツールを使っている企業もある。最近は、機密情報を書き込める掲示板やコンピュータウイルスを含んでいるなど、セキュリティリスクが高いWebサイトへのアクセスをブロックするため、Webフィルタリングツールを利用する企業も少なくない。

約46％の企業がログ管理の現状に疑問

このようにログはシステムや導入したツールの数だけ存在する。「万全を期すため」という理由で、ともすれば何から何までログ管理の対象に加えがちだが、かえって逆効果を招きかねないので注意が必要だ。「とりあえず全部のログを取っておこう」という安易な考え方では、システム管理者の業務負荷が高まるばかり。そのうえ監査部門がインシデント発生時に原因を究明する際、必要以上の労力を要することは容易に想像できる。

ここに国内のログ管理の実態に関する興味深い調査結果がある。日本情報処理開発協会（JIPDEC）が上場企業3925社の情報システム部門長を対象に実施したものだ。ログ管理に関する設問の「有効とは思えないログ管理が増えた」という項目に対し、約46％の企業が「非常にあてはまる」「やや当てはまる」と回答している。これは本当に必要かどうかを精査せずにログを取得し続けている企業が意外に多いことを物語っている。

効率よく、かつ不備なく情報セキュリティ対策を実施するために、企業は取得するログを見極めることが肝要である。その際、基幹系システムと他のシステムとの連携状況、インシデント発生時の分析や報告書の内容などを考慮して、ログに過不足が生じないように配慮しなければならない。

原因特定と適切な対策のため統合ログ管理が必須に

もっとも、ログ管理の対象はある程度まで絞り込めるものの、それだけでログ管理の効率が劇的に向上するわけではないことも事実である。ログが各種システムに分散して保存されているからだ。

ログが分散している状況は、インシデントが発生したときの分析・調査にも悪い影響をもたらす。仮にコンプライアンスを脅かすような不正が発覚した場合、ある特定のシステムのログだけを分析して原因を特定できるケースは稀で、大抵のケースでは複数のシステムのログを並行して調査する。そのときログが分散したままだと、収集するだけでも時間がかかって、適切な再発防止策の実施が後手に回ってしまいかねない。そうした事態を避けるために、分散しているログを統合して管理する仕組み、すなわち統合ログ管理製品が必須になってくる。統合ログ管理製品は、ネットワーク機器や基幹系システムなどの監視対象ごとに設置したログ管理ツールに蓄積されたログを再集約し、横断的に検索できるようにする（図3）。

図3　管理対象と統合ログ管理製品の連携例（画像をクリックで拡大）

統合ログ管理製品の企業導入は、SOX法の施行やSEC（米国証券取引委員会）による義務化で先行した米国でいち早く始まった。そうしたこともあって米国ではたくさんの統合ログ管理製品が流通しており、日本国内で入手できるものも増えている。ただし、日本語化されていなかったり、ネットワーク機器のログ管理を重視した製品が多いので注意が必要だ。

国産の統合ログ管理製品のラインナップも充実してきている。その1つの例として、当社の「快速サーチャーLogRevi（ログレビ）」がある。2008年8月に発売した後発製品だが、ネットワーク機器だけでなく、会計や人事などの基幹系システムからビルの入退館管理システムまで、色々なシステムのログを統合して管理できる。複数のシステムから集約したログを時系列で横並びに表示して互いの関連性を視覚的に把握できるようにするなど、ログの“使い勝手”を高める機能も備えている（図4）。

図4　「快速サーチャーLogRevi」の画面例（タイムラインビュー）

最近では、統合ログ管理製品とストレージを組み合わせた製品も登場している。大量に出力されるログを長期にわたって保存したい企業のニーズが高まっているためだ。統合ログ管理に取り組む企業が増えるにつれて、統合ログ管理製品を核としたベンダー間の連携は今後も加速していくはずである。

高度化する企業ニーズ
ベンダーの役割も大きく

情報セキュリティやコンプライアンスに対する要求が厳しさを増す傾向は、今後も変わらないだろう。クラウドコンピューティングやSaaS（ソフトウェア・アズ・ア・サービス）によるシステム形態の変化やIT化の推進で、ログ管理の対象も今までとは違ってくる。企業はログ管理の対象や分析で手に入れたい効果を明確にするのと並行して、ログ管理製品の機能強化の方向性に目を向け、自社のIT戦略と情報セキュリティ戦略に適した製品を選定していきたいところだ。

当社を含めたベンダーも、これまで以上に開発スピードを速めていく必要がある。現在市場に出回っている統合ログ管理製品では遅かれ早かれ、高度化する企業のニーズに応じられない日がくるに違いないからだ。ログ検索のさらなる高速化や、ログ分析および監査レポート作成機能の強化など、統合ログ管理に取り組む企業の利便性を高める改良の余地は残っている。