ログは取り始めて初めて分かることがある：特集：ログ管理インタビュー（3）

大企業を中心に普及しつつあるログ管理製品。最近では大企業が取引先にもログ管理を求め、それに伴って中小企業でも採用が始まりつつある。しかし、「何のログを取ればよいのか分からない」という声は依然と強い。今回は、ログ収集の現状と未来展望について、S&Jコンサルティングの三輪信雄氏に話を聞いた。

[大津心，＠IT情報マネジメント編集部]

　内部統制や情報漏えい対策の必要性が高まり、ログ取得・管理への需要が高まっている。日本版SOX法の対象となる上場企業はもちろんのこと、上場企業の取引先企業も発見的統制の観点から、ログ管理を求められることが多くなってきているという。

　では、ログ管理の現状はどのようなものなのであろうか。今回は、データベース・セキュリティ・コンソーシアムの統合ログワーキンググループリーダーを務めるS&Jコンサルティング 代表取締役の三輪信雄氏に話を聞いた。

もはやログ管理は当たり前の状況に

　先述したように、上場企業や大企業を中心にログ管理は普及しており、現在はこれら大企業の取引先・アウトソース先企業にもログ管理が求められている状況だ。三輪氏は「例えば、システム開発会社は新システム開発を受託する際にはNDAを結ぶのが一般的だ。最近ではその際に、情報漏えい事故が起きたときのことを考えて、発注企業からログ管理も求められるケースが増えてきている」と説明する。

S&Jコンサルティング 代表取締役 三輪信雄氏

　このように、中堅中小企業にもログ管理のニーズが広まってきており、そのニーズを汲む形で比較的安価なログ管理製品や、SaaS形式のログ管理サービスが登場してきている。一方で、大企業や上場企業では、企業内のサーバログやシステムログなどを一括管理するために統合ログ製品の導入が進んでおり、二極化する傾向だ。

　しかし、三輪氏は「製品導入は進みつつあるが、“入れただけ”で安心・満足している企業が多いのも事実」と警告する。いくらログ管理製品を導入したとしても、必要なログが取得できていなかったり、トレースできなければ意味がない。従って、「何のためにログを取得し、何に使うのか」ということを事前によく考え、「ログポリシー」を策定することが重要だと同氏は強調する。

今後は物理ログとの連携がポイントに

　そして、今後のログ管理で重要になるのが、「物理ログとの連携」と「非改ざん証明」だ。

　物理ログとの連携とは、入退室管理システムや監視カメラといった“物理ログ”とITシステムログの連携を指す。非改ざん証明とは、ログが第三者に改ざんされていないことを証明することだ。「特に物理ログ、監視カメラ映像との連携が重要になる」と三輪氏は指摘する。

　情報漏えい事故などが起きたとき、適切なログを保管しておけば、事後的にトレースして情報漏えいを起こした原因を探ることが可能だ。調査の結果、AさんのPCから情報漏えいしたことが判明しても、システムログだけでは「AさんがそのPCを本当に操作し、漏えいさせたこと」は証明できない。何者かがAさんになりすまし、AさんのPCにログインして持ち出した可能性もあるからだ。

　その部分を補完するのが、監視カメラなどの物理ログだ。監視カメラの映像にAさんのPCを操作している映像が残っていれば、裁判の証拠として価値あるものになるという。ただし、三輪氏は「その際に重要となるのが、相互の連携。例えば、システムログと監視カメラの設定時間がずれていたら、価値が半減してしまう」と説明する。

　このように、ログのセキュリティ強化に注目が集まるのは、その重要性が高まっている点にある。統合ログ製品の登場によって、あらゆるログが統合ログに保管されるようになった。逆にいうと、統合ログは企業の機密情報の塊であり、攻撃者のターゲットとなりやすい。

　その結果、ログのセキュリティが重要になり、物理ログとの連携や非改ざん証明も行う必要が出てきているのだ。ただし、これらの対策の現状については「現在のところ、監視カメラなどの物理ログとの連携を実現できているログ管理製品はほとんどない。また、非改ざん証明はタイムスタンプ方式が一般的だが、まだまだコスト面で普及段階に入っていない。両者ともニーズがあるため、遠からず登場・普及していくだろう」（三輪氏）と予測した。

まずはスモールスタートしてみることが大事

　先に触れたように、大企業では統合ログ製品が、中堅中小企業では安価なログ管理製品やSaaSが普及しつつある。普及に伴って、安価な製品・サービスも登場してきており、導入ハードルは低くなってきている。

　一方で、「どのログを取ればよいのか分からない」や「取っても使い方が分からない」という声も根強い。

　この点について、三輪氏は「コストの問題があるため、一概にはいえないが、可能な限り取れるものは取っておく。足りないよりは余分な方がマシ。ただし、最も推奨するのは“まずは始めてみる”ことだ。セキュリティの場合、スモールスタートは許されないが、ログの場合は可能だ。『まずは、経理部門と基幹サーバ』などと対象を絞って始めるべき。始めてみて、眺めてみることでいろいろと分かってくる部分が多い。また、新たな課題も出てくる。それを踏まえたうえで、ポリシー策定などを進めても遅くないだろう。まずは始めることが重要だ」と強調した。

「特集：ログ管理インタビュー」バックナンバー

• 目的の明確化が、ログ活用の必須条件
• ログは取り始めて初めて分かることがある
• 日本版SOX法2年目はこの2つをやるべき
• ログを有効活用するためにするべきこと