いっそログは全部消せ？ 目的なき収集に明日はない：「内部統制」に振り回されない賢いログ活用とは

ITシステムが生成するログは、最近では管理者のみならず、企業の経営層にとっても重要な役割を果たすようになった。

[ITmedia]

本記事の関連コンテンツは、オンライン・ムック「『内部統制』に振り回されない賢いログ活用とは」でご覧になれます。

　システム管理者にとって「ログ」は、普段からお付き合いすることになる日常的な存在だ。アプリケーションの負荷が急上昇していないか、エラーなど何らかの異常が発生していないかを知らせ、ITシステムの安定的な運用を補佐してくれる。

　このログだが、最近では管理者のみならず、企業の経営層にとっても重要な役割を果たすようになった。理由は、個人情報保護法や金融商品取引法（いわゆる日本版SOX法）に代表されるさまざまな法規制への対応のためだ。

　ログには豊富な情報が記録される。いつ、どの端末からどういった操作が行われたのか。どの端末とどの端末との間で、どういったデータがやり取りされたのか。あるいは操作の結果どんなエラーが生じたのか……。

　こうした情報は、ただ単にシステムの稼働状況を示し、障害時の原因究明を支援するだけではない。そのシステムの上で動いている企業の業務プロセスが正しく、公正に遂行されているかどうかを監視し、記録することになる。その意味で、ログが果たす役割が重みを増しているというわけだ。

法規制上も増すログの重要性

　ログの役割が急浮上したきっかけの1つが、個人情報漏えい事件の多発だ。内部関係者による意図的な漏えいにせよ、WinnyなどのP2Pファイル共有ソフトウェアを通じた流出やミスによる流出にせよ、企業に求められるのは速やかな原因追及とそれに基づく再発防止策の実施である。

　ところが、その原因追及が難しい。例えば顧客情報が流出したとして、情報をまとめた大元のファイルには誰がアクセスしていたのか。いつ、そのデータのコピーや持ち出しが行われたのか……状況を洗い出そうにも、必要なログが記録されていなかったり、記録されていたとしても肝心な部分を見つけ出すのに多くの時間が掛かったりする。

　逆に言えば、普段からログを定期的に点検し、ポリシーに反する行為や通常時の動作と異なる異常な動作があった場合に迅速に注意を促す体制を作り込んでおけば、いざ流出事件が発生したときに迅速に対応できる。また、普段から「記録、監視が行われているのだ」とユーザー一人一人に意識付けすることにより、不正行為の抑止効果も期待できるだろう。

　さらに、日本版SOX法では上場企業に対し、財務諸表の適正性を確保するための体制作り――内部統制の整備、運用を義務付けている。そして、内部統制が有効に機能していることを企業経営者が自ら評価するだけでなく、監査人によって監査することも求めている。自己評価にせよ監査にせよ、実施する上で、業務アプリケーションをはじめとするITシステムが作り出すログは、重要な鍵を握ることになる。

まず大事なのは取得の「目的」

　このように、内部統制を実現していく上で、ログの収集／活用は確かに重要な役割を果たす。しかし「とにかく何でもかんでもログを取得し、保存する必要がある」といった論調が行き過ぎの感もあると懸念を示す声もある。

　例えばガートナージャパンの松原榮一氏（ガートナーリサーチ ITマネジメントグループ、リサーチディレクター）は、「何のためにログを取るのか、その目的を忘れてはいけない」と指摘。「ログを取るにしても、何をどのように監視し、どう管理するのかといったルールがなければ活用できない」（同氏）

　また監査法人トーマツの丸山満彦氏（エンタープライズリスクサービス部公認会計士、公認情報システム監査人）も「何のためにログを取るのか、目的が重要だ」とする。

　「今の状態は、ログを『取っている』のではなく、『取れている』状態にすぎない。いっそのこと、『まずログは全部消せ』と言ってもいいかもしれない。そうすれば、ただ漫然とログを保存し続けるのではなく、何をしなければいけないのかに沿って本当に必要なログは何なのかを決めることができるだろう」（丸山氏）