大事なことはログが教えてくれる――NetIQ

個人情報保護法の全面施行を前に、PCやネットワークのログ収集に取り組む企業も見られるが、本当に大事なのはそれらをきちんと解析し、次なる改善に役立てることだ。

[高橋睦美，ITmedia]

　個人情報保護法の全面施行を前に、従業員が用いているPCの監視ツールやログ取得ツールの導入を検討している企業は多数に上る。しかし、ログを収集するだけで安心してしまっているケースも多いのではないだろうか。

　本当に重要なのは、こうして収集したログをきちんと解析し、有効なデータを洗い出して次なる改善につなげていくことではないか――ログ解析／レポーティングツール「Security Reporting Center」を提供しているNetIQは、このような危惧を投げかけている。

　Security Reporting Centerはログ収集／解析およびレポーティングを行うツールだ。ファイアウォールやVPN、プロキシサーバなどからログを収集し、重要なイベントについて警告するほか、プロトコルごとの帯域利用状況や従業員のインターネット利用状況などをまとめる。NetIQではライセンス販売を行うほか、パートナーを通じてASP形式でも提供している。

　「膨大な量が発生することもあって、意外とログは見られていない。しかし、個人情報保護法を背景にログを取得する企業が増えてきた今、有効活用しないのはもったいないのではないか」（NetIQのパートナセールス本部、シニアパートナセールスマネージャの田中武彦氏）。

　大量のログを手作業で解析するにはあまりに手間がかかる。「数年前とは違うレベルでログが生成される。Grepではもう間に合わない」（同シニアSEマネージャ兼SEグループマネージャの堀田昌昭氏）。

コンプライアンスの観点からも

　一般的なセキュリティ対策という意味でも、ログを有効活用する余地はまだまだ大きいという。

　「最近のファイアウォールでは数百個ものポリシーを設定できるようになっている。これだけセキュリティインシデントが増えている今、それらの1つひとつが有効に働いているか、設定ミスはないかを確認し、新たな設定に反映させるというサイクルを踏むことが重要」（堀田氏）。せっかく導入したセキュリティ製品の精度を上げ、セキュリティレベルを維持するツールとして有用だという。

　残念ながらSecurity Reporting Centerでは相関分析までは行えないほか、IPSやアンチウイルスソフトとの連携もサポートされていない。しかし、40種以上に上るマルチベンダーのファイアウォール／プロキシからログを収集し、全体的な視点から解析、レポートすることで社内ネットワークの状況が浮き彫りになり、改めて気付くことも多いという。

　「大まかにトラフィックの全体像を見るだけでも、ワーム発生などの異常事態を把握できる。『どうもトラフィックが多いようだ』と異常を見つけ、そこからドリルダウンしていくことで原因を追究できる」（堀田氏）。

　また個人情報保護法の観点からは、Webアクセス先を監視することで従業員に対する抑止効果を発揮できるほか、「機密情報を格納したサーバと社内ファイアウォール／プロキシをうまく配置することで、重要な情報へのアクセス状況を監視し、権限を持たないユーザーからのアクセスがないかをチェックするといったことも可能だ」（堀田氏）という。

　「個人情報保護法では20条で『安全管理措置』が、21条で『従業者の監督』が義務付けられている。こうした法律を守り、不正なことは行っていないと証明する意味でも、ログをきちんと残し、分析していくことが必要だ」（田中氏）。健全な企業経営やコンプライアンスの観点からも、ログの解析、ひいてはフォレンジック技術が必要だとした。