ログの種類
どんなログを取得するべきか
実際にはどのようなログを取得すればいいのだろうか。
最初に挙げられるのは、システムやアプリケーションへのアクセスログだ。UNIXやLinux、Windows ServerなどのOSでは、アクセスログは自動的に取得されているはずだ。
場合によっては、ファイル単位でのアクセスログも必要になるかもしれない。その場合は別途オプション的な機能が必要になることもある。アクセスログでは、最低限、誰がいつ何にアクセスしたか、それは成功したかが記録されている必要がある。
次に取得すべきログは、アプリケーションの操作ログだ。すべてのアプリケーションを対象にする必要はないかもしれないが、会計システムなどの金銭の授受に関わるシステムについては、誰がいつそのアプリケーションを利用し、何を行ったか、行った操作は成功したか、さらにはその際にどういった情報にアクセスしたかまでを明らかにする必要がある。
多くの場合、会計システムには監査用のログを吐き出す機能がついているはずだ。その機能をオンにすれば、必要なアプリケーション操作ログは取得できるだろう。
インフラ回りもログを取得する
重要な情報がデータベースに集約されているのならば、当然ながらデータベースの監査ログも取得すべきだ。データベースの監査ログの取得には、さまざまな方法がある。データベースの機能として監査ログを吐き出すように設定もできるだろうし、アクセスするネットワークの経路途中でキャプチャして情報を取得するものある。
次に取得すべきものは、通信に関するログだ。情報漏洩などを監視するためには、メールやチャットなどの情報のやり取り内容をすべてコピーして記録しておく必要もあるかもしれない。すくなくとも、いつ、誰が誰と通信を行ったのかという情報は、記録しておかなければならない。
クライアントとなるPC操作のログも、場合によっては取得する必要があるだろう。誰がいつそのPCを使い、どのようなソフトウェアを起動したか。また、USBメモリなどの外部記憶装置への情報書き出しも記録する必要があるだろう。
アクセスログの延長線上かもしれないが、昨今ではオフィスへの入退室の記録が、個人レベルで求められる。いつ誰がPC端末のある部屋に出入りしたのか、IDでの認証だけでなくビデオカメラなどを用い映像も記録しておけば完璧だ。
