コンプライアンスの第一歩は「ログ収集機能のオンから」と米SenSage

東京エレクトロンが開催した「Solution Forum 2005」で、米SenSageの社長兼CEO、ジム・フラギング氏が、法規制へのコンプライアンスという観点から求められるログの収集について語った。

[ITmedia]

　東京エレクトロンは11月9日に、同社が取り扱う製品群を紹介する「Solution Forum 2005」を開催した。会場で行われたセッションの1つに、同社のコラボレーションパートナーである米SenSageの社長兼CEO、ジム・フラギング氏が登場し、米企業改革法（SOX法）をはじめとする各種法規制へのコンプライアンスという観点から求められるログの取得、収集について語った。

　コンプライアンスという話題になるとまず挙げられるのがSOX法とその日本版だが、ほかにもGLBA（グラム・リーチ・ブライリー法）、FFIEC（連邦金融機関検査協議会）の規則、医療業界向けのHIPAAといったさまざまな法律や規則が定められている。また金融機関向けにはBasel II（新BIS規制）があるし、今年4月に国内で全面施行となった個人情報保護法も、一連の法規制の1つに含めることができる。「コンプライアンスは世界中で求められるようになっている」（フラギング氏）。

米SenSageのフラギング氏

　フラギング氏によると、こうした一連の法規制に共通する目的は4つあるという。「1つめはリスクを管理すること。そして、重要なネットワークおよび情報を保護すること。さまざまなセキュリティ上の脅威を検知すること。最後はセキュリティインシデントにきちんと対応すること」（同氏）。こうして言葉にすると簡単だが、「実際にはそう簡単なことではない」ともいう。

　こうした要件に企業が対応するための5つのステップを、米Gartnerが提唱している。「第一は、自社が行っていることを把握し、文書化してISO1799/BS7799などのベースラインを設定すること」（フラギング氏）。アイデンティティ管理や変更管理、ツールなどを用いた重要データの保護なども必要だ。そして最後のステップが「監査を強化していくこと」（同氏）だ。

　そのためには、「とにかくまず、ログ収集機能をオンにすることをお勧めする。面倒くさいとか複雑だとかいう理由でログを収集していない場合もあるだろうが、まずはログシステムのスイッチを入れるべき」（フラギング氏）。

　ただ、毎日大量に出力されるログをそのままにしていては収拾がつかない。人海戦術で処理するには量が多過ぎるし、自家製ツールでまかなうにしても限界があると同氏。リレーショナルデータベース（RDB）で対応するという手もあるが、「これはどちらかというと、コンプライアンスよりもインシデント管理にフォーカスしたもの。大量のストレージが必要となるため高くつくし、検索やレポート生成のスピードも遅い」という。

　これに対しSenSageが提供しているイベントログ管理システム「SenSage 3.0 Enterprise Security Analytics」は、はじめからコンプライアンスを視野に入れて設計されており、圧縮技術の活用により効率的なログ収集／管理を実現するという。数年単位での長期データ保存が可能なほか、イベントやインシデント単位で掘り下げての分析も行えると同氏は説明した。

　なお、東京エレクトロンではまだこの製品の正式な取り扱いは開始しておらず、参考展示という位置付け。日本語化についてもリクエストを出している段階で、対応スケジュールは未定という。