ツールから考えるのは「順番が逆」：「内部統制」に振り回されない賢いログ活用とは（2/2 ページ）

[高橋睦美，ITmedia]

発見統制と予防統制の使い分けを

　内部統制の「統制のかけ方」には2つの種類がある。1つは、何か悪いことが起こらないよう予防する「予防統制」。もう1つは、悪いことが起こったならばそれを後で発見し、誰がやったかを見つけられるようにしようという「発見統制」であり、この部分がログの担う役割となる。

　ただ「一般的には、予防統制のほうがコストが安いし確実性がある。また、極端な話、事件が起こってしまったならばいくら後で見けたところでどうしようもないということにもなる」（松原氏）

　よって、まずはリスク評価を行い、リスクの高い部分があれば、そこに適宜予防統制をかけていくことが先決だ。典型的な例が、機密情報などに対するアクセス制限で、「必要ない人物以外はアクセスできないようにする」といった具合にルールを定め、それをアクセス制御などの形で実装していくことになる。

　だが「中には、それでもなかなか予防統制をかけにくいところがある。その場合の副次的な手段として、まずい行動を後で分かるようにする発見統制を用いることになる」（同氏）

　職務の分離を徹底することを考えれば、起票者と承認者は別々でなければならない。ある程度規模の大きなオフィスならば、「起票した人は承認できない」という予防統制を徹底することも可能だ。

　しかし、「出張所のように小さい職場では、そもそも人数がいないのだから、起票者と承認者が重なることも考えられる。そうした場合に、『月に一回、出張所でのいろいろなアクティビティを上位にある支店がチェックをかける』といったことをルール化するべき」（松原氏）

　ここでポイントになるのが、例えば発注システムなどのアプリケーションに組み込まれているログ的な機能だという。データベースやアクセス管理、OSなどのログについても騒がれているが、基本はまずアプリケーション側での対応だと同氏は述べた。

　「まずアプリケーション側できっちり職務分離の予防統制をかけておく。そして、ごく一部の例外について、アプリケーションのログを通じて発見統制をかける」（同氏）

当たり前のことを当たり前に

　考え方としては、何でもかんでも取っておけるログは保存しておこう、というアプローチもあり得るだろう。

　「それがタダでできるならばいいが、必ず何らかのリソースが必要になる。経営としては、そのリソースとどうバランスさせるのか、また本当に取得したログを使うのかといった部分を問うことになる」と松原氏は指摘。ただ漫然とログデータを取得していても「ゴミがたまるだけだ」とした。

　松原氏は繰り返し、「最初にルールを定め、どういうログをどういう視点から見て、もし何かが見つかったらどうするかを決めておかなくてはならない」と強調した。文字にすると当たり前すぎるほど当たり前のことだが、それをちゃんとやることが大事だという。

　例えばアクセス制御にしても、まず前提として「1ユーザーに1つのID」が必要になる。ここが曖昧なまま、共有IDなどが許可されていると、いくらログを取っていても意味がない。

　「ステップを踏んではじめて、ログを使った発見統制という話が意味を持ってくる。前段を飛ばしてしまうと、お金の無駄遣いに終わるだろう」（同氏）

　松原氏は、100％予防統制だけで内部統制を実現しようとすると、それはそれでコストがかさみすぎてしまうと指摘。予防統制と発見統制のバランスをうまく取りながら進めていくのが一番スマートなやり方になるだろうとアドバイスしている。