次世代ログに対応する前に：[Analysis]

[大津心，＠IT]

　日本版SOX法施行2年目も終わりに近づき、2度目の内部統制監査も間近だ。多くの上場企業は、世界同時不況の影響もあり、初年度と比較すると今年は大幅に要員や予算を削減している。一方、監査ではログの「真正性」や「非改ざん証明」が新たに求められるようになってきた。

　そもそも、日本版SOX法や内部統制は、事前にファイアウォールやウイルス対策製品といったセキュリティ対策製品を導入することでリスクに備える“予防的統制”と、事故が起きてしまった後に、事後的に原因を追究するための“発見的統制”に大別できる。発見的統制では、ログ管理製品が中心的な役割を担う。

　内部統制初年度におけるログの役割は、まさに発見的統制を実現するために、「万が一、情報漏えいや不正侵入事故が起きた際に原因を探ることができるログを保存しておくこと」に狙いがあった。実際、いままでログをきちんと保存していなかった企業が、ログ管理製品や統合ログ製品を導入し、必要とされるログを保存するようになった。このような対策を行った企業では、監査などでログの提出を求められた場合でも比較的容易に提出することができるだろう。

[an error occurred while processing this directive]

　ただし、日本版SOX法施行2年目となる本年度の監査では、さらにログの「真正性」や「非改ざん証明」が求められるケースが現れてきている。真正性とは、「そのログが本物である」ということを証明するもので、非改ざん証明も同様に「ログが改ざんされていないこと」を証明するものだ。従来の監査では、必要と思われるログをきちんと取得し、求めに応じてトレースできれば問題ない場合が多かったが、さらに真正性を求められ、そのログが改ざんされていないことも証明しなければならなくなった。

　非改ざん証明には、サーバが吐き出したログを即座に暗号化する手法や、ハッシュ値を利用するなどして第三者が電子公証するサービスなどが存在している。もし、監査で真正性を求められた場合には、これらの対策が必要となる。

　ただし、ここで注意が必要なのは「ログのポリシー」をきちんと定めることだ。それを抜きにこれらの対策を導入しても意味がない。

　内部統制対応のためにログ管理製品の導入が進んだ一方で、「ログ管理製品を導入したにもかかわらず、どのログを集めればよいのか分からない」や「SIerが勧めるままにログ対策製品を導入した」といったケースが多いのも事実だ。このようなケースでは、「何のためにログを収集しているのか？」という点をしっかりと考慮せずに導入しているため、リスク発生時に必要なログを保存しておらず、情報が不足してトレースできなかったりする。これでは、ログの真正性を証明する以前の問題となってしまう。

　内部統制においてログの真正性は重要だ。いくらログを収集していても、そのログが改ざんされていたらまったく価値がない。ただし、真正性が重要になるのは、きちんとログのポリシーを定め、必要十分なログ管理ができたうえでの話だ。企業内に存在するシステムはそれぞれまったく異なるため、汎用的なポリシーテンプレートを適用するのは難しい。「何のためにログを収集するのか」を考え、「そのためにはどのログが必要なのか」といったポリシーをまず策定することが重要だ。