「モニタリング」の実践で企業力の強化を:ログは“集める”から“使いこなす”へ【前編】
コンプライアンスの観点からログの有効活用が求められている。組織の行動に厳しい目が注がれる中、本稿では内部統制の要求事項の1つ、「モニタリング」に注目。組織におけるログ管理の課題と有効な管理策を考える。
従来の情報セキュリティ施策では、「情報にアクセスできる権限を最小限に限定し、権限者以外からのアクセスを確実に制御する」ことに主眼が置かれていた。これに対し、2005年に施行された個人情報保護法では、「個人情報の安全な利用と運用管理」によってフォレンジックというキーワードとともに、通信記録、アプリケーションやデータベースのアクセス記録、PCの操作記録、電子メールのアーカイブなど、各種記録(証跡)の収集・保存が行われた。さらに今日、内部統制が有効に機能しているかどうかをチェックすること(モニタリング)が求められている(図1)。
事業運営のITへの依存度が高まる中、このモニタリングを確実かつ正確に実現するために有効な手段が、統合ログ管理(※1)および分析である。
※1 ITシステムにかかわる機器(クライアント、サーバ、ネットワーク機器、セキュリティ機器、アプリケーション、データベースなど)が出力するログを、機器の種類、アプリケーション、ログのフォーマットを問わず統合的に管理すること。
統合ログ管理に求められるもの
ここでコンプライアンスの観点から、統合ログ管理への要求事項を整理してみよう。
不正競争防止法(1993年施行、2006年改正)
競合相手などによる営業情報の不正取得といった侵害に対する法律。経済産業省の営業秘密管理指針では、営業秘密となる条件として、「秘密として管理されていること」「有用な情報であること」「公然と知られていないこと」と定義し、情報にアクセスできる者を制限することや、情報にアクセスした者にそれが秘密であると認識できることなどを求めている。このため、営業情報にアクセスできる権限範囲を特定し、アクセス記録など営業秘密が適切に管理されていたことの証跡として、ログの有用性を認めている。
不正アクセス禁止法(2001年施行)
「ID/パスワードの不正な使用」や「システムの脆弱性を狙った攻撃」によって、権限のないシステムへのアクセスを行うことを犯罪として定義した。
これに対応するためシステム管理者は、担当するシステムが不正に利用されないように、最新のセキュリティパッチなど常に適切な管理措置を講じるとともに、不正アクセスの監視を行う必要がある。また、当局の求めに応じてログ(証跡)を提供しなければならない。
個人情報の保護に関する法律(2005年施行)
法第20条の安全管理措置において、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失または棄損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定している。そして、個人データが安全に管理されていることの証跡を提供するため、以下の項目が求められている。
- 個人データへのアクセスや操作の成功と失敗の記録(例えば、個人データへのアクセスや操作を記録できない場合には、情報システムへのアクセスの成功と失敗の記録)
- 採取した記録の漏えい、滅失および棄損からの適切な保護
- 個人データを取り扱う情報システムの使用状況の定期的な監視
- 個人データへのアクセス状況(操作内容も含む)の監視
金融商品取引法――日本版SOX法(2008年施行)
金融商品取引法(日本版SOX法)では、財務に関する書類や情報の適正性を確保するために、内部統制の評価報告の事項が盛り込まれている(図1参照)。このため、内部統制の基本的要素が組み込まれたプロセスを整備し、業務プロセスを適切に運用するために監視やチェックの仕組みを整備する必要がある。責任者がアクセス権を承認したかどうか、与えられたアクセス権が承認されたアクセス権の行使と合致しているかを確認するなど、蓄積かつ統合されたログを分析することで、業務プロセスが適切に運営されていることを評価するための判断材料を提供することが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.