“正しいログ”と日本版SOX法の関係は？：セキュリティツールで作る内部統制（6）（2/2 ページ）

[中島 浩光，＠IT]

「ログ」の利活用において考えるべきこと

　ログの取得目的において、監査対応や事故対応では必要な情報を含んだログが存在し、確実に保存されていることが重要ですが、モニタリングや内部統制の有効性の評価といった場合にはログはデータであり、それをどう利活用するかが重要になります。

（1）モニタリングにおけるポイント

　モニタリングにおいては、「何をモニタリングするのか？」を明確にすることが重要です。例えば、セキュリティにおけるリアルタイム監視では、事故の発見や事故につながる可能性のある事象を監視するといってもよいでしょう。

　では、セキュリティ上の事故や、事故につながる可能性のある事象とは何でしょうか？ ウイルスの発生などは分かりやすい例かもしれませんが、ID管理やアクセス制御などのログにおいては、管理者がログ出力を1日中チェックしているわけにもいきません。

　そのため、ログの監視システム上で、「こういうログが出てきたら事故である」や、「こういうログのパターンは事故につながりやすい」といった定義を設定し、自動的に監視する必要があるのです。このように言葉で書くのは簡単ですが、実際には非常に難しい問題です。

　また、取得対象となる業務プロセスの定義と実際の業務が異なる場合や、ID管理・アクセス制御の設定が適切に行われていない状態でログが取得されている場合には、実際に監視すべきログの定義を行うのが困難になることがあります。

　例えば、「特定のシステムへの不正アクセスを監視したい」というケースを考えます。この場合、アクセス制御システムにおいてリソースに対するアクセス権を設定し、それに制御されたユーザーの実際のアクセスに対してアクセスログを出力します。しかしここで、アクセス権設定の基本である「必要最小限の権限」の原則に従わず、不必要な人にもアクセス権が設定されていると、不正アクセスも正常なアクセスとしてログに出力されることになります。これではアクセスログで不正アクセスを監視することは非常に困難です。

　つまり、ログの内容と信頼性が保証されなければ、せっかく取得したログの利活用が意味のないものになってしまう可能性もあるのです。

（2）何をもって内部統制が有効であると考えるのか？

　内部統制の有効性の評価においては、「統制活動が有効に機能しているか？」を確認・評価し、不備があればそれを改善することが必要になります。

　具体的には、内部統制が有効であるということを示す指標を定義し、実際の業務プロセス・統制活動が実施された際のログなどからそれらの指標を計算し、目標値との差異を測定します。これを実行するには、「何を指標とするのか？」を定義するという大きな課題があるのですが、COBITの各統制活動に対するサンプルの指標（metrics）を参考にすることも可能です。

日本版SOX法対応においてセキュリティ上必要なログ

　ここまで、ログについて取得対象、出力内容、利活用ポイントと解説してきました。では、日本版SOX法対応においてセキュリティ上必要なログは何になるのでしょうか？ まず、取得対象から考えるとIT全般統制において必要なセキュリティ上の活動が、その取得対象となります。従って、本連載の第4回、第5回で解説してきたアイデンティティ管理やアクセス管理に伴う統制活動のログが必要になります。

　具体的には、

• 財務システムおよび関連システムのIDの作成、アクセス権の変更、IDの削除に関しての、誰がいつ承認し、実行したか
• 財務システムおよび関連システムのIDの認証が適切に行われているのか
• 財務システムおよび関連システムへのアクセスの記録が残っているか
• アプリケーションやデータベースへのセキュリティログが取得され、セキュリティ違反を上級管理者に報告しているか

　といったことが求められます。

最も重要なのは正しいログの取得

　冒頭で「ログの集約」への要望が増えていると紹介しました。確かにログの集約はログを利用した活動の効率を良くするためにも必要なことではあるのですが、それ以前に「出力されていないログは集約できません」し、「出力内容が不十分なログ」は集約しても意味がありません。

　ログに関して最も重要なことは、「正しい取得対象から正しい内容のログを取得（出力）すること」です。これが確実に行われることで、初めてログの集約や監視といったその後の利活用が可能となるのです。

Profile

中島 浩光（なかじま ひろみつ）

日本CA株式会社　カスタマーソリューションアーキテクト

1993年、アンダーセン・コンサルティング（現アクセンチュア）入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。

2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。

東京工業大学理工学研究科経営工学修士課程修了

「セキュリティツールで作る内部統制」バックナンバー

• 内部統制におけるコンピュータの運用とEUC
• プログラム変更はIT全般統制のもう1つの鍵
• 日本版SOX法でプログラム開発に求められるもの
• 日本版SOX法に必要なセキュリティポリシーとは？
• “正しいログ”と日本版SOX法の関係は？
• IT統制のキモとなる認証とアクセス制御とは
• 統制の鍵となるシステムセキュリティ保証とは
• 日本版SOX法対応のためのIT内部統制とは？
• 内部統制におけるITとCOBITの関係は？
• 日米SOX法や内部統制とITの関係を理解しよう！