従来、セキュリティ面から重視されてきたのは前者の方だ。たとえば「ログを取得し、定期的に検査する」というポリシーは、明らかにログを通じて異常を発見(もしくは異常がないことを確認)することを意識している。
しかし、最近では内部統制対応も含め、さまざまな事情から、後者がより重視されるようになってきている。それは、情報システムがさらされている脅威の複雑化と無縁ではない。
とりわけ、社内の基幹システムなど、会社のビジネスを大きく左右するようなシステムへの脅威を考えると、「許可されないアクセス」を強行する「不正アクセス」よりも「許可されたアクセス」を伴う「不審な行為」のほうが、より危険である場合が多い。それは、情報漏えい事件の多くが、業務上その情報にアクセスできる立場の人間(=正当なユーザー)によって行われていることに端的に現れているだろう。
この「不審な行為」を、異常系から見つけ出すのは困難だ。むしろ、正常系の履歴から、それらの相関性や頻度分析といった統計的な手法で、通常と異なる行為を見つけ出す必要が出てくる。
それでも、予防的な発見には限度がある。となるとログの目的は、むしろ、何か事件が発生した場合に、その調査を行うための情報を提供することを主体に考えることになるだろう。これは事後対処的な考え方だが、一方で、そのようなログが取得されていること自体が、各ユーザーの不正行為の心理的な抑止につながるという点も重要である。
もちろん、不審な行為の予防的発見もあきらめてはいけない。適切な頻度でログを検査しているという事実が、抑止効果の維持につながることは言うまでもない。
このように、ログの取得を考える前に「何のためにそれをとるのか」をまず考えておくことだ。それによって、取得すべき内容もおのずと明らかになってくる。
本記事の関連コンテンツは、オンライン・ムック「『内部統制』に振り回されない賢いログ活用とは」でご覧になれます。
Copyright © ITmedia, Inc. All Rights Reserved.