日本版SOX法が施行され注目されているソリューションに、ログ管理がある。内部統制を強化するには、業務が不正なく行われていることを証明しなければならない。そのためには、日々の活動の詳細な記録が必要になるのだ。もちろん、何か作業を行ったらその都度結果を紙に記載、という方法でも業務の記録は行える。しかしながら、ほとんどの業務が何らかの形でITシステムと関わっている現状においては、ITシステムのログを取得することが業務の記録を取ることにつながる。(ITComplianceReview Vol.9より転載)
ログの種類
どんなログを取得するべきか
実際にはどのようなログを取得すればいいのだろうか。
最初に挙げられるのは、システムやアプリケーションへのアクセスログだ。UNIXやLinux、Windows ServerなどのOSでは、アクセスログは自動的に取得されているはずだ。
場合によっては、ファイル単位でのアクセスログも必要になるかもしれない。その場合は別途オプション的な機能が必要になることもある。アクセスログでは、最低限、誰がいつ何にアクセスしたか、それは成功したかが記録されている必要がある。
次に取得すべきログは、アプリケーションの操作ログだ。すべてのアプリケーションを対象にする必要はないかもしれないが、会計システムなどの金銭の授受に関わるシステムについては、誰がいつそのアプリケーションを利用し、何を行ったか、行った操作は成功したか、さらにはその際にどういった情報にアクセスしたかまでを明らかにする必要がある。
多くの場合、会計システムには監査用のログを吐き出す機能がついているはずだ。その機能をオンにすれば、必要なアプリケーション操作ログは取得できるだろう。
インフラ回りもログを取得する
重要な情報がデータベースに集約されているのならば、当然ながらデータベースの監査ログも取得すべきだ。データベースの監査ログの取得には、さまざまな方法がある。データベースの機能として監査ログを吐き出すように設定もできるだろうし、アクセスするネットワークの経路途中でキャプチャして情報を取得するものある。
次に取得すべきものは、通信に関するログだ。情報漏洩などを監視するためには、メールやチャットなどの情報のやり取り内容をすべてコピーして記録しておく必要もあるかもしれない。すくなくとも、いつ、誰が誰と通信を行ったのかという情報は、記録しておかなければならない。
クライアントとなるPC操作のログも、場合によっては取得する必要があるだろう。誰がいつそのPCを使い、どのようなソフトウェアを起動したか。また、USBメモリなどの外部記憶装置への情報書き出しも記録する必要があるだろう。
アクセスログの延長線上かもしれないが、昨今ではオフィスへの入退室の記録が、個人レベルで求められる。いつ誰がPC端末のある部屋に出入りしたのか、IDでの認証だけでなくビデオカメラなどを用い映像も記録しておけば完璧だ。
この記事は参考になりましたか?
- IT Compliance Reviewスペシャル連載記事一覧
- この記事の著者
-
谷川 耕一(タニカワ コウイチ)
EnterpriseZine/DB Online チーフキュレーターかつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリスト...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
