Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

クエスト・ソフトウェア株式会社 システムズコンサルタント 西秀夫氏 あの企業は統合ログを活用してどのように監査に対応したのか

  2010/03/18 07:00

内部統制やコンプライアンス対応で重要な事は、単にログを取得することではない。収集したログを選別し、いざという時に活用できるログとして保管する必要がある。 クエスト・ソフトウェアの西秀夫氏は、業種別の様々なユーザーの事例を中心に内部統制に本当に必要な統合ログについて解説し、さらにSOX対応で先行していた米国での統合ログやID管理のトレンドも紹介した。

内部統制監査のため統合ログ管理システムは不要?

 西秀夫氏のセッションは「内部統制の監査に対応するため、統合ログ管理システムが必要か」という問いかけでスタートした。

 この問いに西氏が示した結論は「不要」だ。確かにJ-SOXへの対応が本格化した2006~2007年頃、金融機関をはじめ大手製造業にも統合ログ管理システムが入っていった。その際、ベンダーが必要性の説明に使っていたのが経済産業省のシステム管理基準にある「情報システムで発生した問題を識別するために、システム運用の作業ログ・障害の内容ログ及び原因ログを記録し、保管すること」という一文だ。ただ続けて「改ざんされないように保管することが望ましい」とあり、統合ログ管理システムの重要な機能である「ログの一貫性や暗号化」が必須とした記述は一切無い。ログの選別、収集だけなら人間系でも可能だ。

 加えて西氏は一部にある「ログさえ取っておけば、ユーザーのアクティビティを把握できる」という「ログ万能」の誤解を指摘した。2009年4月に発覚した証券会社の顧客情報漏えい事件は、マネージャー職の男性が異動した女性社員のIDを利用して顧客情報を抜き出してCDに焼き、名簿屋に売ったというものだ。この事件をログから考えてみると、ログオン、データ出力が正常に行われ、CDへの書き出しも権限通りでエラーはない。つまりログ内容のチェックだけでは、不正は発見できないのだ。

 一方アクセスした範囲、漏えいした可能性があるデータは、ログから確実に特定することができる。ログが示すのは結果であり、人の動作を防ぐことはできない。防止にはID管理とアクセス制御が必須だ。

クエスト・ソフトウェア株式会社
システムズコンサルタント
西秀夫氏
クエスト・ソフトウェア株式会社 システムズコンサルタント 西秀夫氏

事例から見える統合ログ活用のポイント

 確かにここまでの話では、統合ログ管理システムは不要とも聞こえる。ここで西氏は導入で効果を挙げている企業の事例を紹介した。ある数千人規模の人材紹介会社では、Pマークの更新時に監査人から指摘を受けていた。それは営業時間内のファイルサーバーへのログオン失敗履歴と、原則アクセス禁止の営業時間外のログオン成功・失敗履歴を取るようにというものだった。そこでまず手作業による人経費を計算すると、年800万円と算出された。一方、クエスト・ソフトウェアのシステムQuest InTrustはスモールスタートが可能であり、初期コストは200万円、2年目以降はメンテナンス費のみだ。つまり、人間系と比較して3年間で約2000万円の経費削減が可能ということになる。

 また部署のマネージャーにレポートを毎週出すことで、何らかの抑止力になることも期待できる。ここで西氏がポイントとして挙げたのは、ログの取得方法をユーザーに教えないことだ。クライアントかサーバーか、明らかにしてしまうと、悪事を働く人間は何らかの対抗策を考えてしまうからだ。

 続いて紹介された事例は、外資系証券会社によるIT全般統制の強化目的の導入だ。IT管理者の不正がないことを証明するため、ID改変履歴を取ることが第一の目的だ。Active Directoryでログを取得し、ユーザーからのID作成履歴と付き合わせて作業完了報告書を作成することで、操作の正しさを証明する。

 導入事例からわかる統合ログ管理のポイントは「監査指摘事項対応の場合には費用対効果を特に意識をする」「自動化できる部分はシステムで」「スモールスタートが可能な事」というものだ。そしてIT全般統制の強化のためには、必要なログが出力されているかをきちんと判別する。さらに統合ログ管理システムを入れることで、すべて解決できるとは思わない方がいい。何を目的に、何をすべきかを考えてシステム選定することが重要だ。

 当然、統合ログ管理システム自体の機能や導入・運用コストにも注目しなければならない。Quest InTrustでは収集したログを圧縮、暗号化して保存する。圧縮されたデータは生データに比べ約1/40となり長期保管が可能だ。さらにJ-SOXやPCI DSSなどに対応した豊富なレポートパックにより、導入後すぐに活用できる。そしてInTrust Plug-in シリーズにより、Windows Serverが出力できない種類のログ拡張を可能にしている。

管理が必要なログを選別

 日本ではエンドユーザーの操作権限に注目しがちだが、米国ではアドミニストレーターなど特権ユーザーが行った操作をいかに取ってくるかが主眼になっている。そして最近の日本における監査人からの指摘でも「すべてのログオン履歴を取得」という従来のものから、サーバーに直接ログオンするような特定のケースや特権ユーザーの操作履歴の取得を求めるものが中心となってきている。

 そうした状況を踏まえ、西氏が提言するのは統合ログ管理・監査システムにすべて頼るのではなく、その上のレイヤーがポイントになるということだ。クエスト・ソフトウェアはアプリケーション特化のログ管理から統合ログ管理まで幅広く対応可能しており、さらにはアクセス制御、ID管理などのセキュリティ製品も数多く提供している。さらに統合ログのシステムを導入していても活用できていない企業が多い現状を踏まえ、他社製品のユーザーであっても活用するためのアドバイスを行っている。

 西氏は「当社のラインナップは幅広い。ITで困ったことがあれば声をかけてほしい」と述べ、セッションを終了した。

【関連URL】

・クエスト・ソフトウェア株式会社
http://www.quest.com/japan/
 



著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

バックナンバー

連載:IT Compliance Summit2010セミナーレポート

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5