クラウドサービス利用のための情報セキュリティマネジメントガイドライン

コラム

クラウドサービスとログ管理

ITシステムのリソースを、水道や電気、ガスのように、必要なときだけ、必要な分だけ使えるサービスとして、また、大規模震災の影響を受け、事業継続の観点からシステムを自社外に出す先として、クラウドサービスの利活用が普及しています。しかし、ITの運用コストやリスク管理上、効果が高いと思われるクラウドサービスの普及を妨げる要因があります。それは「セキュリティ」です。クラウドサービスに関する様々な意識調査に於いて、「セキュリティ・情報漏えいに対する不安」が常にランクされるなど、クラウドサービスの運用がブラックボックスである事への不安が、普及の妨げになっている事は明らかです。そういった背景から、クラウドサービスに対するセキュリティの向上や運用の可視化の必要性などが叫ばれ、ガイドラインの策定や様々なクラウド・セキュリティ・ソリューションの登場など、状況は大きく変わってきました。特に、利用者側のクラウドサービスに対する心理的な抵抗を軽減し、安心を提供する手段である「可視化」は利用促進の重要なポイントとして認識されており、それを実現するための「ログ」の管理が注目されています。

クラウドセキュリティガイドライン

2014年3月、経済産業省から「クラウドサービス利用のための情報セキュリティマネジメントガイドライン 2013年度版」(以下、クラウドセキュリティガイドライン)が公表されました。このガイドラインは「情報セキュリティ」および「事業者におけるシステム運用」が見えないことに関する不安を「見える化」するために、下記を目的として策定されました。

「利用者視点によるセキュリティリスクの共通認識の形成」
「事業者選択における基準として利用できる対策基準」
「情報セキュリティ監査による利用者と事業者の信頼関係の構築」

このガイドラインの特徴的なところは、「クラウド利用者」「クラウドサービス事業者」双方の観点からのチェック項目が整理されている点で、クラウドサービスの利用者と事業者間で、サービスレベルに関する認識の齟齬が生じないよう、コミュニケーションを取るツールとしての活用が期待されています。このガイドラインの目的は「情報セキュリティ」「システム運用」の可視化ですから、その肝であるアクセス記録・証跡管理（ログ管理）についてどのような形で求められているのか、詳しく見ていきたいと思います。

クラウドセキュリティガイドライン【10.10 監視】

クラウドセキュリティガイドラインでは、ログに関する内容は「10.10 監視」に書かれています。

【10.10 監視】目的：認可されていない情報処理活動を検知するため。
システムを監視することが望ましく、また，情報セキュリティ事象を記録することが望ましい。
システム運用担当者の作業ログ及び障害ログは，情報システムの問題を識別することを確実とするために利用することが望ましい。
組織は，監視及び記録の活動に適用されるすべての関連した法的要求事項を順守することが望ましい。
システムの監視は，採用している管理策の有効性の点検及びアクセス方針モデルに対する適合性の確認のために利用することが望ましい。

引用：クラウドサービス利用のための情報セキュリティマネジメントガイドライン【10.10 監視】はログ管理に関する要件を下記の6項目で定義しています。

項番	内容	管理策
10.10.1	監査ログ取得	利用者の活動，例外処理及びセキュリティ事象を記録した監査ログを取得することが望ましく、また、将来の調査及びアクセス制御の監視を補うために、合意された期間、保持することが望ましい。
10.10.2	システム使用状況の監視	情報処理設備の使用状況を監視する手順を確立すること，及び監視活動の結果を定めに従ってレビューすることが望ましい。
10.10.3	ログ情報の保護	ログ機能及びログ情報は，改ざん及び認可されていないアクセスから保護することが望ましい。
10.10.4	実務管理者及び運用担当者の作業ログ	システムの実務管理者及び運用担当者の作業は，記録することが望ましい。
10.10.5	障害のログ取得	障害のログを取得し，分析し，また，障害に対する適切な処置をとることが望ましい。
10.10.6	クロックの同期	組織又はセキュリティ領域内のすべての情報処理システム内のクロックは，合意された正確な時刻源と同期させることが望ましい。

「10.10.1 監査ログ取得」～「10.10.5 障害のログ取得」は、あらゆる法令・制度・ガイドラインで求められるログ管理の2大要件「ログを適切な期間、安全に保管すること」「継続的なログのモニタリングを行うこと」と同義で、ログ管理の根幹と言える重要な要件です。「10.10.6 クロックの同期」は他と比べると細かい要件のように見えますが、ログに記録される時刻のズレは、ログのモニタリングを適切に行う上で致命的な問題となりますので、敢えてこの項目レベルで挙げられたものと思います。さて、ここまでは他のガイドラインにもあるような、通常の「ログ管理」要件と何ら違いはありません。クラウドサービス特有の要件は、【10.10.1 監査ログの取得】の「実施の手引き」に詳細が書かれています。

クラウドセキュリティガイドライン【10.10.1 監査ログ取得】

対象者	手引き
クラウド利用者	クラウド利用者は、クラウドサービス上で取得されるクラウドサービスの利用者の活動、例外処理及びセキュリティ事象を記録した監査ログの存在を確認することが望ましい。
	クラウド利用者は、クラウドサービス上で取得された監査ログは、将来の調査及びアクセス制御の監視を補うために、適切な期間、保持されることを確認することが望ましい。
	クラウド利用者は、クラウドサービス上で取得される監査ログが、クラウドサービスの利用者の活動、例外処理及びセキュリティ事象を記録できていることを確認することが望ましい。
	クラウド利用者は、クラウドサービス上で取得された監査ログが提供される方法、提供のタイミングについて、適切かどうか確認することが望ましい。
	クラウド利用者は、クラウドサービス上で取得された監査ログが保持される期間が、将来の調査及びアクセス制御の監視を補うために適切かどうか確認することが望ましい。
クラウド事業者	（上記、利用者の為の実施の手引きの裏返しの内容）

ここで重要なのは、ブラックボックス化しているクラウドサービスの利用状況・運用状況について、それを可視化するためのログを利用者が適切に入手できる仕組みを、利用者・事業者の双方にて確認・提供する、という事が求められている点です。利用者はサービス利用に際し、それらログが存在する事、ログに適切な内容が記録されている事、適切な方法・タイミングでログの提供を受けられる事、などを確認するよう求められており、事業者はそれを提供するよう求めています。このような背景もあり、クラウドサービス利用者様への、ログ管理サービスの提供が進んでいます。

クラウドサービスのログ管理ならLogstorage

Logstorateは、様々なシステムに異なるフォーマットで散在するログを管理・分析する純国産の統合ログ管理システムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視など多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。官公庁や金融業、通信業を中心に5100社以上が導入しており、統合ログ管理ツール分野シェア17年連続No.1となっています。

Logstorageを導入するメリット

・ログを最大1/10に圧縮して長期保管できる
・ログを暗号化した状態で保存・閲覧できる
・ログが改ざんされていないことを証明できる

Logstorageは、クラウドサービスのログを収集できるオプション製品を提供しています。ログをアーカイブ化・暗号化できる機能などを備えているため、ログを安全に長期保持できます。また、アラート検知やレポートの生成なども可能なため、ログモニタリングの効率化も図れます。Logstorageを用いることで、クラウドセキュリティガイドラインで言及されているログ管理要件に対応することが可能です。>>Logstorage製品ページはこちら

PCI DSS v4.0で求められるログの管理要件に準拠するには

ログ管理の参考となるガイドライン・報告書のリスト

事例紹介一覧