「とりあえず取っておく」時代は終わった：「内部統制」に振り回されない賢いログ活用とは（1/2 ページ）

日本オラクルのシステム製品統括本部営業推進部セキュリティ担当ディレクター、北野晴人氏に、ログ運用管理を取り巻く変化を聞いた。

[高橋睦美，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「『内部統制』に振り回されない賢いログ活用とは」でご覧になれます。

　ネットワーク管理者にとっては、日常的な運用の一環として付き合うことの多い「ログ」。これが今、内部統制の観点からも着目されるようになっている。では、データベースやアプリケーションに携わるベンダーではこの状況をどう見ており、どのように付き合っていくべきと考えているのか。日本オラクルのシステム製品統括本部営業推進部セキュリティ担当ディレクター、北野晴人氏に聞いた。

　北野氏は「従来は『ログ』と言えば、どのユーザーが何にアクセスし、何をしたのかというアクセスログや操作ログを指すことが圧倒的に多かった」という。

　これに対し最近では、「業務プロセスのログ」に焦点が当てられるようになった。今では多くの企業において、調達や購買、財務会計処理といった業務プロセスがITシステム／アプリケーションの上に載っている。そのITの仕組みのログを見ることで、どういった業務プロセスが実行されたのかを明らかにすることができる。

　さらに、内部統制にかかわる説明責任という意味では、ITシステムに対するアクセス権限がどのように管理され、運用されているのかを明らかにすることも求められると北野氏は述べた。

　具体的には、ある財務会計処理システムがあるとして、そのシステムにアクセスできるIDを誰が誰に渡したのか、またその処理に承認を下したのは誰かという「ID管理」という業務プロセスについても、履歴が明確になっていることが望ましい。情報漏えいに代表されるセキュリティインシデント発生時の説明責任を考えても、こうしたID管理プロセスのログをきちんと残しておくことが重要だとした。

　「仮に情報漏えいが発生した場合、誰が操作したのか、またなぜその人にIDを渡したのか、ID発行のプロセスはどうなっていたのかといった情報を追っていくことで、責任の所在がひと目で丸分かりになる」（北野氏）

日本オラクルのシステム製品統括本部営業推進部セキュリティ担当ディレクター、北野晴人氏

　いつ、どこで、誰が何をしたのかという状況を記録するという意味では「何のためにログを取るのか、また取ったログをどう活用したらいいのかという本質の部分は今までと変わっていない」と北野氏。また、おのおのの業務プロセスが定義され、文書化／明文化されていることが前提となる。その上で「それらのプロセスがちゃんと実行できているかを見ることがログの役割」という。

「とにかく取っておく」から「どう活用するか」へ

　伝統的（？）なアクセスログに加え、会計処理やID管理といったさまざまな業務プロセスのログを取るとなると、その絶対量は必然的に増加する。今までは対象としていなかった部分までログ取得の対象となるのだから当たり前だが、これを活用していくには「なるべく手間がかからないよう自動化することがポイントになる」（同氏）。

　個人情報の漏えい事件が多発し、個人情報保護法が策定された直後は、「とにかく、とりあえず履歴は何でもとっておけ」という流れがあった。しかし2006年ごろから、それも落ち着いてきていると同氏は見ている。そろそろ「あまりに取れすぎているログをどうしよう」「これって本当に役に立つのかな、どう活用しようかな」というところで頭を悩ませるようになってきたという。

　「とにかくログを取っておくというフェーズは終わり、取得したログをどう活用するかという次のフェーズに入りつつあると感じている」（北野氏）

　業種や業態によっては、何でもかんでもログを取っておくべきと考える企業もあるだろう。しかし、コストを考えても、またいざ問題が発生したときに本当にそれが役に立つのかを考えると、「あまり無駄なログを取るのは得策ではない」と同氏は述べている。

　「大回りでも、まずはポリシーやリスク分析から出発すべき。必要なログを洗い出し、どういう形で取得すべきかを考えていく、つまり当たり前のことを当たり前にやることが一番有効」（同氏）