ログの取得目的において、監査対応や事故対応では必要な情報を含んだログが存在し、確実に保存されていることが重要ですが、モニタリングや内部統制の有効性の評価といった場合にはログはデータであり、それをどう利活用するかが重要になります。
モニタリングにおいては、「何をモニタリングするのか?」を明確にすることが重要です。例えば、セキュリティにおけるリアルタイム監視では、事故の発見や事故につながる可能性のある事象を監視するといってもよいでしょう。
では、セキュリティ上の事故や、事故につながる可能性のある事象とは何でしょうか? ウイルスの発生などは分かりやすい例かもしれませんが、ID管理やアクセス制御などのログにおいては、管理者がログ出力を1日中チェックしているわけにもいきません。
そのため、ログの監視システム上で、「こういうログが出てきたら事故である」や、「こういうログのパターンは事故につながりやすい」といった定義を設定し、自動的に監視する必要があるのです。このように言葉で書くのは簡単ですが、実際には非常に難しい問題です。
また、取得対象となる業務プロセスの定義と実際の業務が異なる場合や、ID管理・アクセス制御の設定が適切に行われていない状態でログが取得されている場合には、実際に監視すべきログの定義を行うのが困難になることがあります。
例えば、「特定のシステムへの不正アクセスを監視したい」というケースを考えます。この場合、アクセス制御システムにおいてリソースに対するアクセス権を設定し、それに制御されたユーザーの実際のアクセスに対してアクセスログを出力します。しかしここで、アクセス権設定の基本である「必要最小限の権限」の原則に従わず、不必要な人にもアクセス権が設定されていると、不正アクセスも正常なアクセスとしてログに出力されることになります。これではアクセスログで不正アクセスを監視することは非常に困難です。
つまり、ログの内容と信頼性が保証されなければ、せっかく取得したログの利活用が意味のないものになってしまう可能性もあるのです。
内部統制の有効性の評価においては、「統制活動が有効に機能しているか?」を確認・評価し、不備があればそれを改善することが必要になります。
具体的には、内部統制が有効であるということを示す指標を定義し、実際の業務プロセス・統制活動が実施された際のログなどからそれらの指標を計算し、目標値との差異を測定します。これを実行するには、「何を指標とするのか?」を定義するという大きな課題があるのですが、COBITの各統制活動に対するサンプルの指標(metrics)を参考にすることも可能です。
ここまで、ログについて取得対象、出力内容、利活用ポイントと解説してきました。では、日本版SOX法対応においてセキュリティ上必要なログは何になるのでしょうか? まず、取得対象から考えるとIT全般統制において必要なセキュリティ上の活動が、その取得対象となります。従って、本連載の第4回、第5回で解説してきたアイデンティティ管理やアクセス管理に伴う統制活動のログが必要になります。
具体的には、
といったことが求められます。
冒頭で「ログの集約」への要望が増えていると紹介しました。確かにログの集約はログを利用した活動の効率を良くするためにも必要なことではあるのですが、それ以前に「出力されていないログは集約できません」し、「出力内容が不十分なログ」は集約しても意味がありません。
ログに関して最も重要なことは、「正しい取得対象から正しい内容のログを取得(出力)すること」です。これが確実に行われることで、初めてログの集約や監視といったその後の利活用が可能となるのです。
中島 浩光(なかじま ひろみつ)
日本CA株式会社 カスタマーソリューションアーキテクト
1993年、アンダーセン・コンサルティング(現アクセンチュア)入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。
2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。
東京工業大学理工学研究科経営工学修士課程修了
Copyright © ITmedia, Inc. All Rights Reserved.