見極めなくして活用なし「内部統制」に振り回されない賢いログ活用とは(1/2 ページ)

NTTデータの西尾秀一氏(セキュリティサービスユニットセキュリティビジネス担当部長)によると、ログ取得のポイントは目的の見極め。同時に業界全体で標準作りや情報共有も必要だという。

» 2007年04月19日 11時00分 公開
[高橋睦美,ITmedia]

本記事の関連コンテンツは、オンライン・ムック「『内部統制』に振り回されない賢いログ活用とは」でご覧になれます。


 内部統制を巡って、業界全体が大騒ぎしているように見えるかもしれない。しかし、「日本版SOX法への対応を図り、内部統制を整備していくうえで、いろいろな形で証跡・記録を残すことが必要だと言われているが、そもそも何をどういう形で残せばいいのか、と多くの企業が悩んでいるのも確かだ」――。

 NTTデータの西尾秀一氏(ビジネスソリューション事業本部セキュリティサービスユニットセキュリティビジネス担当部長)はこのように述べ、多くの企業があふれる情報の中で頭を悩ませているのも事実だと述べた。

 この悩みを解きほぐす糸口は、当たり前だが「『何のためにログを取るのか』というところから検討を始めること」(西尾氏)

 この場合、ログの取得目的は大きく2つに分けることができる。1つは、法律などで取得を義務付けられているものであり、そのルールに従って淡々と取得する体制を整えればいい。もう1つは、何か企業にとって大きな問題が起こったとき――あるいは起こらないときに、説明責任を果たすための記録だ。

 では、果たしてどういった記録、どういった情報があれば説明が可能になるのだろうか。この部分をじっくり考え、「リスク分析アプローチに基づいて、何をどうやって取得するかを突き詰めておかないと、いざというときに説明はできない」と西尾氏は述べる。

 「ログを取る目的は何なのか、何のために導入するのかを忘れると無駄な投資になってしまう。いざというときの説明用のログなのか、それとも日々の運用監視支援のためなのか、狙いを識別した上でそれぞれのログの取り方を見極め、管理すべきだ」(同氏)

説明責任のためのログ

 説明責任を果たすためのログに注目が集まったきっかけの1つは、個人情報の漏えい事件だ。

 多発する個人情報漏えい事件を受けてさまざまな対策が進んできたが、それによってかえって、根本的な問題は内部の関係者による不正やミスであるということが浮上してきたという。「権限を持った人が情報を流出させてしまう場合は、いくら対策製品を導入していても防ぎきれないということが分かってきた」(西尾氏)

 内部不正に対し何か打つ手はないのか、ということでログの役割が注目されている側面があるという。ログを取得することにより、いざというときの原因追及が可能になるし、その事実を従業員らに積極的に明らかにすることで、心理的な抑止効果も期待できるからだ。

 ただ「これまで日本には、ログを取るという文化があまりなかった。取るにしても目的や取り方に問題があり、いざ問題が起きても重要なデータが取られていなかったり、膨大な情報の中から肝心な情報を探し出せない状態だ」(同氏)

ログ取得、運用者向けの意外な留意点

 目的の部分をクリアしたとして、より現実の管理・運用に近い部分でも、いろいろと考慮すべきポイントがあるという。端的な問題の1つが、スーパーユーザーやroot、アドミニストレーターと呼ばれる管理者の扱いだ。

 「こうした特権ユーザーは、ログを改ざんしようと思えば改ざんできるし、消そうと思えば消去できる。本当に悪意を持っている人がいるのだったら、こうした可能性は否定できない」(西尾氏)。

 したがってログを取るにしても、信頼性が確保された形で取得し、保存しておく必要があると同氏は述べた。たとえば、管理者権限とログの監査者の権限を分け、たとえスーパーユーザーでもログに手を触れられないよう権限を分離する方法がその1つだ。第三者が管理する外部のデータセンターに丸ごと記録を飛ばしてしまう、という手段もあり得るという。

 2つめの留意点は「ログはどんどんたまっていくもので、相応の保管スペースが必要になる」(西尾氏)ことだ。ログをローテーションさせていたために昔の記録が取り出せなかったり、逆に昔のデータはアーカイブしてあっても肝心の部分が保存されていなかったりという、若干「トホホ」なケースも見受けられるという。

 この問題を解決するには、ログ取得を効率化すること。「『これとこれ、あとはこれ』という具合に対象を決め、それを適切に、的確に取ることが必要になる」(同氏)

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ