はじめに
昨今、コンプライアンスの側面からログ管理が重視されるようになり、企業へのログ管理ツールの導入が急速に進んできました。しかし、これらのツールはあくまで有事の際の追跡・調査の為にログを取っておく、という言わば「保険」としての利用に留まっているケースが多いようです。
ここで1つ、残念な事を申し上げておかなければなりません。明確なログ管理の方針を持たず、また必要な手順を踏まずにツールを導入しても、大抵の場合、有事の際にも殆どログを利用できません。それに気付いた時には後の祭りです。人海戦術でログの分析を試みようとしてもログの大海に飲み込まれ、大抵の場合、何も得る事ができません。
この特集記事では、そうした現状を踏まえ、有事の際のログ追跡・分析だけでなく、様々な方向にログを活用出来る、ログ管理基盤の構築に必要なポイントをご説明していきます。
1回目はウォーミングアップとして、ログ管理がコンプライアンスの面から重視される理由となった「個人情報保護法」と「内部統制」を取り上げ、これらとログ管理との関係について説明し、そうした流れの中で、何故ログの活用が進まなかったのか、その理由について触れたいと思います。具体的なログ管理基盤構築のポイントは、2回目以降で説明していきますので、ご期待下さい。
ログ管理が何故注目されてきたのか ~個人情報保護と内部統制~
ITシステムの動作記録である「ログ」の歴史は古く、「ログ」はITシステムの誕生と同時に生まれたものと言えます。ITシステムに何らかの障害が生じた際、その原因調査の手掛かりとなるのが「ログ」であり、システム運用の現場で、ログの取得は欠かせないものです。
日本に於いて、2000年頃までは「ログ管理」と言えば、システムの運用管理の一部を意味し、運用の現場でのみで使われるものでした。
しかし、2002年以降多発した大規模な個人情報漏えい事件・事故や、その流れを受けて2003年に成立、2005年4月より施行された「個人情報保護法」(個人情報の保護に関する法律)により、個人情報の適切な管理を行う上でも「ログ管理」が必要であるとの認識が広がり、情報セキュリティの側面からも注目されるようになりました。
個人情報保護法とログ関連条文
ログは、万が一情報漏えいが起きてしまった場合、その時期や漏えい情報の範囲、経路、社内からの漏えいであれば、その人物の特定等にも利用されます。では、「ログ管理」を行うべき理由として重要視される「個人情報保護法」の関連条文を見てみましょう。
個人情報の保護に関する法律(平成一五年五月三十日法律第五十七号)
(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(従業者の監督)
第二十四条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。(委託先の監督)
第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
出典:個人情報の保護に関する法律(平成十五年五月三十日法律第五十七号)
これは個人情報保護法に限った話ではありませんが、ご覧になってお分かりになるようにログ管理そのものについて、具体的には何も触れられていません。「個人データの安全管理のために必要かつ適切な措置」、実は根拠、手掛かりとなるのはこれと、併せて公開されている【個人情報保護法の解説】にある「内部関係者のアクセス管理」などの記述しかなく、ログをどのように管理すべきか、いえ、そもそもログ管理すべきかどうかすら、各企業の判断に委ねられています。
その為、個人情報保護法の施行後、2006年に個人情報漏えい事件を起こした大手企業が、アクセスログを1年間しか保存していなかった為に、個人情報を抜き出したユーザが誰か特定できなかったという報道もありました。個人情報が漏えいしてから1年以上後になってそれが明るみになるようなケースは当然ありえます。
このように、ログ管理対策を誤った結果、折角のセキュリティ投資が無駄になってしまったというケースは枚挙に暇がありません。しかし、管理のあり方はともかく、原因調査の唯一の手掛かりとなる「ログ」を保管する事の重要性は、この時期に強く意識されるようになりました。
そうした流れを更に加速させたのが、「内部統制」です。
内部統制 システム管理基準 追補版(財務報告に係るIT統制ガイダンス)
内部統制とは、有価証券報告書の開示内容の信頼性を確保する為に上場企業に対して義務付けられた制度で、平成20年4月1日以降に開始する事業年度から適用されています。米国でエンロンやワールドコム等による企業不祥事を受けて2002年に制定されたサーベインズ・オクスリー法(SOX法)に倣って日本にも導入された為、日本版SOX法とも呼ばれています。 「内部統制」の定義は下記の通りです。
財務報告に係る内部統制の評価及び監査の基準 内部統制の定義
内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。
出典:財務報告に係る内部統制の評価及び監査の基準 内部統制の定義
今日では、企業のあらゆる業務はコンピュータ・システムに強く依存していますから、業務の有効性や効率性、財務報告の信頼性などの監視・統制を行う上で、当然コンピュータ・システムの監視・統制も行う事になります。これが内部統制の基本的要素の1つであるITへの対応(IT統制)で、その監視・統制を行う上での手掛かりとして、やはりログの利用が必要となります。
情報システムはアクセス記録を含む運用状況を監視することが望ましく、また、情報セキュリティインシデントを記録し、一定期間保管すること
情報システムで発生した問題を識別するために、システム運用の作業ログ・障害の内容ログ及び原因ログを記録し、保管すること。取得されたログは、内容が改ざんされないように保管することが望ましい
出典:システム管理基準 追補版 運用の実施記録、ログの採取と保管
こちらの内容は、先ほどの個人情報保護法よりは具体的で、「ログ」という言葉そのものを使用し、ログの保管に言及し、記録すべきログの種類についても記述されています。
しかし、運用状況を監視する為には、業務や情報システムへの理解に加え、ログそのものを理解し、監視する方法を設計する力が求められます。ただ、そのような人材は今も圧倒的に不足しており、結局、方針が曖昧なままに「とりあえずログを溜める」という対応しか取れなかった企業が多かったようです。
ログが活用できない理由
このように、個人情報保護法、内部統制への対応という流れの中で、ログ管理ツールは企業に広く導入されていきましたが、現状は、法令順守の為の必要最低限の使い方に留まっています。つまりは、ログを溜めるだけ、という状況です。
ここで申し上げたいのは、各種法令の記載が曖昧だから悪い、という事ではなく、ログを有効に利活用する為の情報や、そうした助言が出来る人材が圧倒的に不足している、という現状についてです。
本特集では、そうした現状を踏まえ、ログ活用に必要なノウハウや手段を、今後4回に渡りできるだけ具体的にお伝えしていきます。標的型攻撃への対策やビッグデータ分析など、「ログ」の活用範囲は更に広がりをみせつつありますが、まずはログ管理の基本を押さえ、様々な方向へ活用出来るログ管理基盤を整える事が何よりも重要です。是非、自社のログ管理の現状と比較しながら、その改善の参考にして頂ければと思います。