見極めなくして活用なし：「内部統制」に振り回されない賢いログ活用とは（2/2 ページ）

[高橋睦美，ITmedia]

　意外な盲点は、ログを通じて「いつ」を明らかにしておく前提として、システム上できちんと時刻合わせをしておくことだ。ごくまれに内蔵時計がずれているマシンから「未来からのメール」が届くケースもあるが、ログに関して、ましてや説明責任を果たすためのログに関して、それは許されない。また紙の書類であれば、「いつ」を示す目安は日付程度でよかったが、電子的な記録の場合それでは大ざっぱすぎると西尾氏は述べ、「もう少し精巧な時間が必要ではないか」とした。

　業務プロセスを見ていくと、「誰」という部分も見直すべきという。企業の実運用の中では、電子決済の仕組みを整えていても、アシスタントがIDとパスワードを知っていて代わりに申請や承認といった業務を行うケースは珍しくない。これまでの、「最終的に決まったものが大事」という文化でならばそれは問題なかったが、内部統制で問われるのはプロセスの部分である。

　そう考えると「承認を代理でやったならば、『代理でやった』という記録を残すこと。ヘンに後ろめたく思うのではなく、ルールを決めて、記録として残せばいい」と西尾氏は述べた。

　ドキュメントの扱いにも同じことが言えるという。企業によっては、いったん仮で文書を作成しておき、後から内容を差し替えておく、という仕事の進め方をすることもある。その差し替え作業をこっそり個別にやるのではなく、「かくかくしかじかの理由により文書を差し替えた」という説明を添えてきちんと記録する形がこれからは求められるという。

　「こういった部分は、ITの仕組みでお手伝いできるところ。データベースや変更履歴管理といった仕組みをうまく活用してほしい」（西尾氏）

　ログの記録、管理についてはほかにも「場合によってはすべて紙に打ち出しておく」「ライトワンスのメディアに記録しておく」「ログを丸ごと別のデータセンターに飛ばす」「タイムスタンプや電子署名を活用する」など、いろいろなアプローチが考えられる（参考：経済産業省 システム管理基準 追補版（財務報告に係るIT統制ガイダンス））

　ただ、いずれの方法をとるにしても、コストに跳ね返ってくる面もある。「だからこそ見極めが大事だ」と西尾氏。日々の運用のためのログと説明責任のために取っておくログをきちんと区別しておくことが、最初は大変かもしれないが、最終的には有効な結果をもたらすだろうとした。

　もう1つ西尾氏は「訓練」の重要性にも触れた。「何でもかんでも取っておくと、問題が起こったときにどれを見ればいいのかを判断するのに時間が掛かる。実際に起こりそうな問題を想定し、ログ解析の訓練を行っておくといいだろう」（同氏）

業界全体で標準作りや情報共有を

　業界全体として、ログに関する何らかの標準作りも必要だという考えも示した。「ユーザーからすればやはりミニマムセットが望ましい。『誰が見ても証拠性があり、分析できる』という何らかの標準を確立する動きを業界全体としてやっていきたい」（西尾氏）

　企業も、またそれを支援する業界側も、ようやく真剣にログの管理について考え始めた段階にある。だがそれだけに、おのおのが手探りで模索しているのが実情だ。この部分でも、ITベンダーとユーザーが手を取り合っていければと同氏は述べた。

　「ログにまつわる問題やうまくいった事例をみんなで共有していかないといけない」（西尾氏）

　例えば、具体名は出さないまでも「事件が起こった後、原因や犯人を突き止める上でこんなログが役に立った、こんな方法が有効だった」という知識やノウハウやの共有ができないかと考えているという。

　「現に困っている人はたくさんいる。悪意を持った人に逆手に取られる可能性もあるが、リスク分析に基づいて、『このリスクを防ぐにはこんなログが有用だ』といった情報を共有していくことは十分役に立つだろう」（同氏）