日本版SOX法・徹底解析

どんなログを取得するべきか

　実際にはどのようなログを取得すればいいのだろうか。

http://enterprisezine.jp/article/detail/1262

　最初に挙げられるのは、システムやアプリケーションへのアクセスログだ。UNIXやLinux、Windows ServerなどのOSでは、アクセスログは自動的に取得されているはずだ。

　場合によっては、ファイル単位でのアクセスログも必要になるかもしれない。その場合は別途オプション的な機能が必要になることもある。アクセスログでは、最低限、誰がいつ何にアクセスしたか、それは成功したかが記録されている必要がある。

　次に取得すべきログは、アプリケーションの操作ログだ。すべてのアプリケーションを対象にする必要はないかもしれないが、会計システムなどの金銭の授受に関わるシステムについては、誰がいつそのアプリケーションを利用し、何を行ったか、行った操作は成功したか、さらにはその際にどういった情報にアクセスしたかまでを明らかにする必要がある。

　多くの場合、会計システムには監査用のログを吐き出す機能がついているはずだ。その機能をオンにすれば、必要なアプリケーション操作ログは取得できるだろう。

インフラ回りもログを取得する

　重要な情報がデータベースに集約されているのならば、当然ながらデータベースの監査ログも取得すべきだ。データベースの監査ログの取得には、さまざまな方法がある。データベースの機能として監査ログを吐き出すように設定もできるだろうし、アクセスするネットワークの経路途中でキャプチャして情報を取得するものある。

　次に取得すべきものは、通信に関するログだ。情報漏洩などを監視するためには、メールやチャットなどの情報のやり取り内容をすべてコピーして記録しておく必要もあるかもしれない。すくなくとも、いつ、誰が誰と通信を行ったのかという情報は、記録しておかなければならない。

　クライアントとなるPC操作のログも、場合によっては取得する必要があるだろう。誰がいつそのPCを使い、どのようなソフトウェアを起動したか。また、USBメモリなどの外部記憶装置への情報書き出しも記録する必要があるだろう。

　アクセスログの延長線上かもしれないが、昨今ではオフィスへの入退室の記録が、個人レベルで求められる。いつ誰がPC端末のある部屋に出入りしたのか、IDでの認証だけでなくビデオカメラなどを用い映像も記録しておけば完璧だ。

ログ取得にはそれなりの準備が必要

　上記はOSやアプリケーションの標準機能で自動的に取得できるものもあるが、既存の仕組みだけでは記録できないものもある。そもそもオフィスへの入退室記録となれば、新たに電子ロックを設置しICチップ入り身分証明書を発行、それをカギに電子ロックを解錠する仕組みを導入する必要があるだろう。

　また、OSやアプリケーションのログは、標準では監査に必要な項目をすべて含んでいないこともある。というのも、従来ログは何かトラブルが発生した際に、その原因を究明し復旧する手助けが目的だったからだ。

　アプリケーションによっては、標準では正常に終了した処理は記録されずに、成功しなかったもの、あるいは不正なアクセスだけを記録しているかもしれない。しかしながら、日本版SOX法に対応するための内部監査では、不正アクセスはもちろん正常なアクセスも記録し、取引なりが正確に実施されたことを証明しなければならないのだ。

　データベースの場合も、トラブルが発生した際にシステムを復旧させるに足りるログしか取得していないのが普通だ。というのも、あらゆるデータベース操作ログを取得しようとすると、多くの場合はデータベースのレスポンスに大きく影響を及ぼしてしまうからだ。そのため、データベース監査を目的に詳細なログを取得するには、専用のデータベース監査ツールの導入が必須となるだろう。

記録さえしていればOK、ではない

　また、ログはたんに記録さえしてあればいいというわけではない。監査で何らかの指摘がなされれば、関連する証左を監査人に速やかに提供できなければならない。ところが、ここに挙げたものだけでも、相当な量のログが蓄積されることになるはず。そして、それぞれのログは、通常はそれぞれのOSやアプリケーションが稼働しているサーバーのローカル環境に蓄積される。

　さらに、個々のログのフォーマットは異なるものだ。同じアクセスログでも、最初に日時がきて次に端末のIPアドレス、ユーザーIDという順番かもしれないし、IPアドレスよりもユーザーIDが先に記録されているかもしれない。また日付の形式も年、月、日、時間のものもあれば、その逆もあるだろう。フォーマットが異なるだけでなく、ものによっては専用のアプリケーションのインターフェースからでないとアクセスできないものもあるかもしれない。

　また、重要な情報だけでなく、ログも改竄がないように厳密に管理されている必要がある。個々のシステムに、バラバラなまま保管されていては、ログの厳密な管理もままならない。それでは証左としては通用しなくなってしまう。

中長期的にTCOの低いログ管理方法を見つけ出す

管理ツールの導入にはログの状況把握が必要

　これら、バラバラかつ大量のログの中から、必要な情報をすべて速やかに入手するのは極めて困難で手間のかかる作業だ。そのため、最近では必要なアクセスコントロールのもと、分散したログを統合的に管理するツールが登場している。

　このツールを利用すると、複数サーバーに散らばっているログを一カ所のデータベースに安全に収集し、データフォーマットの不整合などをクレンジングしてログを横断的に分析できる環境を提供してくれる。さらに、多くのツールでは、複数ログの横串検索や統計分析機能などを持ち、監査で使えるレポートの作成機能なども持っている。

　こういった統合ログ管理ツールはかなり便利なものなのだが、残念なのは機能が豊富であらゆるログに対応できるようなものは、かなり高価だと言うこと。安価なツールもあるが、その場合は機能が限定されていたり、対応するOSやアプリケーションが限られたりといった制約がある。

　自社のログの状況を正確に把握した上でなければ、適切な統合ログ管理ツールを選ぶことは難しい。あわてて高いお金を出して導入しても、あとから機能が足りないことに気づいたり、必要なログを取得するためにアプリケーションやシステムに手を入れたりすることになり、さらなる出費が発生しかねないのだ。

まずは漏れなくログを収集することから始める

　監査などで証左の不備を指摘されれば、まずは指摘された範囲のログをとにかく取得する手はずを整えるしかない。そうなると、ログの活用は後回しになるはずだ。

　前述のように統合ログ管理の使えるツールは高価なものが多いので、中長期的な自社のログ管理の状況が把握できてから、じっくりと選択するほうがいいだろう。

　まずは、監査に必要なログを漏れなく収集することに注力し、その次のステップで統合的なログ管理を考える。しばらくの間は、必要なログさえ揃っていれば、一元化されていなくても企業内検索ツールなどを用いればある程度のログの解析は行えるかもしれない。

　日本版SOX法対応のための内部統制強化は、一度実施すればそれでおしまいというものではない。継続することこそが大前提であり、中長期的にTCOを下げられる対策方法をじっくりと考えたほうが得策だ。それができるまでは、既存ツールなどを用い工夫し、場合によっては手作業で記録するなどの方法でその場をしのぐことも有効な対策となるはずだ。