あの企業は統合ログを活用してどのように監査に対応したのか

事例から見える統合ログ活用のポイント

　確かにここまでの話では、統合ログ管理システムは不要とも聞こえる。ここで西氏は導入で効果を挙げている企業の事例を紹介した。ある数千人規模の人材紹介会社では、Pマークの更新時に監査人から指摘を受けていた。それは営業時間内のファイルサーバーへのログオン失敗履歴と、原則アクセス禁止の営業時間外のログオン成功・失敗履歴を取るようにというものだった。そこでまず手作業による人経費を計算すると、年800万円と算出された。一方、クエスト・ソフトウェアのシステムQuest InTrustはスモールスタートが可能であり、初期コストは200万円、2年目以降はメンテナンス費のみだ。つまり、人間系と比較して3年間で約2000万円の経費削減が可能ということになる。

　また部署のマネージャーにレポートを毎週出すことで、何らかの抑止力になることも期待できる。ここで西氏がポイントとして挙げたのは、ログの取得方法をユーザーに教えないことだ。クライアントかサーバーか、明らかにしてしまうと、悪事を働く人間は何らかの対抗策を考えてしまうからだ。

　続いて紹介された事例は、外資系証券会社によるIT全般統制の強化目的の導入だ。IT管理者の不正がないことを証明するため、ID改変履歴を取ることが第一の目的だ。Active Directoryでログを取得し、ユーザーからのID作成履歴と付き合わせて作業完了報告書を作成することで、操作の正しさを証明する。

　導入事例からわかる統合ログ管理のポイントは「監査指摘事項対応の場合には費用対効果を特に意識をする」「自動化できる部分はシステムで」「スモールスタートが可能な事」というものだ。そしてIT全般統制の強化のためには、必要なログが出力されているかをきちんと判別する。さらに統合ログ管理システムを入れることで、すべて解決できるとは思わない方がいい。何を目的に、何をすべきかを考えてシステム選定することが重要だ。

　当然、統合ログ管理システム自体の機能や導入・運用コストにも注目しなければならない。Quest InTrustでは収集したログを圧縮、暗号化して保存する。圧縮されたデータは生データに比べ約1/40となり長期保管が可能だ。さらにJ-SOXやPCI DSSなどに対応した豊富なレポートパックにより、導入後すぐに活用できる。そしてInTrust Plug-in シリーズにより、Windows Serverが出力できない種類のログ拡張を可能にしている。

管理が必要なログを選別

　日本ではエンドユーザーの操作権限に注目しがちだが、米国ではアドミニストレーターなど特権ユーザーが行った操作をいかに取ってくるかが主眼になっている。そして最近の日本における監査人からの指摘でも「すべてのログオン履歴を取得」という従来のものから、サーバーに直接ログオンするような特定のケースや特権ユーザーの操作履歴の取得を求めるものが中心となってきている。

　そうした状況を踏まえ、西氏が提言するのは統合ログ管理・監査システムにすべて頼るのではなく、その上のレイヤーがポイントになるということだ。クエスト・ソフトウェアはアプリケーション特化のログ管理から統合ログ管理まで幅広く対応可能しており、さらにはアクセス制御、ID管理などのセキュリティ製品も数多く提供している。さらに統合ログのシステムを導入していても活用できていない企業が多い現状を踏まえ、他社製品のユーザーであっても活用するためのアドバイスを行っている。

　西氏は「当社のラインナップは幅広い。ITで困ったことがあれば声をかけてほしい」と述べ、セッションを終了した。

【関連URL】

・クエスト・ソフトウェア株式会社
http://www.quest.com/japan/