一挙紹介、ログ管理ソリューション（前編）：「内部統制」に振り回されない賢いログ活用とは（2/2 ページ）

[岡田靖，ITmedia]

情報系システムのログ

　情報系システムも、基幹系に劣らず、今や企業の根幹を支える重要なシステムとなっている。その中では、財務関連や技術関連、個人情報など、重要な機密情報が数多く管理されているのだ。そのため内部統制においては、情報系システムのログ管理も重要なポイントとなる。

　中でもメールは、企業内外のコミュニケーションとして最も広く使われており、司法の場においても重要な証拠として扱われる。

　なお、本稿は「ログ管理ソリューション」と題しているが、メールの場合は本文や添付ファイルの記録が不可欠となるため、送受信されたすべてのメールを蓄えておくアーカイブソリューションが基本となる。大容量のストレージや効率的な検索システムが不可欠となるため、メールのアーカイブソリューションはストレージベンダーからも提供されている（関連記事）。

　一方、ファイルサーバなどにも財務関連情報や機密情報などが置かれることが多いため、その管理をおろそかにすることもできない。

●「WISE Audit」（エアー）

　送受信される全メールが通過するようファイアウォール内に配置し、そのメールをアーカイブする製品。操作ミスやクライアントの故障などによって失われたメールをアーカイブから復元することも可能。

　アーカイブのほか、送受信メールのフィルタリング機能を備えており、迷惑メールなどの遮断が可能だ。また、機密情報のキーワードを設定しておくことで情報漏えい防止にも役立つ。フィルタされたメールもアーカイブされるため、トラブルの予防と同時にその調査も容易に行える。またフィルタリング機能では、添付ファイルの有無によって優先順位を設けるなど、トラフィックへの悪影響を軽減する工夫も盛り込まれている。

　メールログ収集にはSMTPプロトコルを用いているため、標準的なメールサーバ各種に対応可能。Exchange Server、Oracle Collaboration Suite、Lotus Notes/Dominoにも対応している。

●「MailBase」（サイバーソリューションズ）

　アーカイブサーバに障害が発生してもメールトラフィック自体の流れを妨げない、エージェント方式に対応したメールアーカイブ製品。ゲートウェイ方式など、他の形態での導入も可能だ。

　メールをアーカイブすると同時に検索用インデックスを随時作成しており、送信直後から検索を可能にすると同時に、負荷変動の少ない安定した運用を実現した。インデックスファイルのサイズも、元となるメールの20％程度とコンパクトに抑えてあり、アーカイブ容量を節約できるのが特徴。

　また、LDAP連携機能を搭載しており、ユーザー自身がアーカイブにアクセスし、メールサーバ上から削除された過去のメールを利用するといった使い方も可能。

　対応メールサーバはsendmail 、Exchange Server、Lotus Notes/Dominoほか。

●「Mirapoint ComplianceVault」（ミラポイント・ジャパン）

　テラバイト級のディスクを搭載したアプライアンスサーバとして提供される製品。メールサーバのジャーナルを利用してアーカイブを行うため、SMTP経路に手を入れることなく容易に導入でき、メール遅延の心配もない。アーカイブされたメールは定期的にテープへバックアップすることも可能。

　管理画面はシンプルなGUIで、経営層や財務担当者など非IT部門の人々でもアーカイブの検索などを簡単に行えるようになっている。アーカイブ検索のログも管理されており、不正な検索が行われていなかったかどうかの監査も可能。

　対象はPOP3／IMAP4プロトコルを用いる各種メールサーバ。Exchange Server、Lotus Notes/Dominoにも対応。

●「GUARDIANBOX ProCap」（キヤノンシステムソリューションズ）

　メール（SMTP、POP3）に加え、Web（HTTPおよびFTP）のアクセスログを管理できる、小型アプライアンスサーバ。オプションでテープドライブも用意されている。対象となるネットワークの出入り口に設置し、通過するパケットを収集・監視する、パケットキャプチャ方式。ポートミラーリング設定が施されたスイッチングハブが付属しており、設置にも手間がかからない。

　なお、FTPプロトコルでは転送されたデータも含めて、HTTPでは検索キーワードやWebメールの送信内容、掲示板への書き込み内容なども保存される。これによりインターネットへの主要なアクセス内容を一通り解析できる。

　あらかじめ登録されたキーワードやアドレスに対するメールが社内から送信された場合、管理者に警告メールを送る通知機能も搭載している。

●「Symantec Enterprise Vault」（シマンテック）

　Exchange Serverと連携し、大量のメールを長期間保持できるようにするソリューション。古くなったデータは設定されたポリシーに応じて自動的にアーカイブへ移行されるため、Exchange Serverで扱うデータ量が軽減され、サーバ負荷の軽減にも役立つ。また、アーカイブされたデータはOutlookなどを通じて表示や取り出しが可能となっており、エンドユーザーにとってはメールボックスの延長として利用することができる。

　コンプライアンス面では、「Discovery Accelerator」によって訴訟対応機能を追加できるようになっている。アーカイブからの情報収集、レビュー、提出文書作成といった一連のプロセスを高度に自動化することができ、IT部門と法務部門の作業負担を軽減すると同時に、迅速な提出文書作成を可能にしている。

●「Alogコンバータ」（網屋）

　ファイルサーバやドメインコントローラサーバなど、複数のWindowsサーバからイベントログを収集、アクセスログに変換して一元管理を行う製品。ドメインへのログオンとファイルサーバへのアクセスの2つの記録から、ユーザーの行動を把握できるようになっている。不審なファイルやフォルダ操作が行われた場合には管理者へのアラートを出力することも可能。

　エージェントレスで監視対象サーバに負荷をかけず、ログの圧縮転送によってネットワーク負荷を軽減、収集後のログを成形処理することでディスク容量も削減している。

　監視対象はWindows 2000 Server、Windows Server 2003、Windows Storage Server 2003、Windows NT 4.0。NAS（NetAppおよびEMC）対応版も用意されている。

●「File Server Audit」（日本システムディベロップメント）

　ファイルサーバに負荷をかけないパケット監視型のアクセスログ管理製品。サーバの直前にポートミラーリング機能つきハブを設置するだけで、簡単かつ迅速に導入できる。

　ファイルをオープンした際のテンポラリファイル作成など、ユーザー操作に関係のないログを出力しないようになっており、監査担当者の負担を軽減した。ファイルサーバへのアクセス状況をリアルタイムで表示したり、指定した条件に合致するアクセスが行われた際に管理者へ通知を行うなどの監視機能も備えている。

　監視対象はWindowsNT以降、Windows 2003 Storage Server、Samba、各種NASなど。

本記事の関連コンテンツは、オンライン・ムック「『内部統制』に振り回されない賢いログ活用とは」でご覧になれます。