監査ログとは-種類、取得、解析、管理表法について
インターネットが普及した昨今において、パソコンなどのIT機器は日々の業務に欠かせない存在となりました。
IT機器を活用することで効率化が進む一方で、不正利用や情報漏洩、過失による損害などのリスクが常につきまとっています。
そのため、コンプライアンスの遵守やセキュリティ対策を常にモニタリングする体制を整備しておかなければなりません。
今回の記事では、そのような体制を整備するために欠かせない役割を務める監査ログについて説明します。
監査ログの必要性や重要性について解説しますので、管理運用面でお困りの方はぜひご覧ください。
ログとは
ログとは、コンピューターの利用や操作、データ送受信などの記録を履歴として保持したものです。
例えばどのソフトを使ったのか、どのファイルを開いたのかだけでなく、インターネットの使用時にどのWebページを見たのか、といった情報は全てコンピューター上に記録されます。
これらのコンピューターの使用履歴のことをログといい、多くの情報が含まれています。
ログの種類は1つではありません。
ユーザーの動線情報を保持するアクセスログ、システム内で発生した各種イベントの履歴情報を保持するイベントログ、ファイルの更新や削除履歴を保持するファイルログなど、種類は様々です。
ログを確認することで、コンピューター上で『いつ』『誰が』『何を』『どのような操作をしたか』などの情報を特定することが可能です。
このような操作履歴や取引履歴などのログ情報は、ファイルに記録して保管します。
これらのファイルをログファイルと呼びます。
監査ログとは
監査ログとは、システムを利用するユーザーの他、保守運用担当者などが操作した内容や挙動の履歴が記録されたものです。
上述したログと監査ログについて、広義での違いはありません。
ログと監査ログの違いはその中身ではなく、あくまでも使用用途や目的にあります。
ログは単なる結果としての記録を意味しますが、監査ログは監査証跡としての役割を果たすものです。
監査証跡とは、システム監査を実施する際の資料に用いられるログデータのことをいいます。
監査証跡を残す目的は、システムの有効性や安全性、効率性、信頼性などを検証することです。
また、監査証跡を使えば、該当するシステムが本来の運用ルール通りに稼働しているか、業界ルールや社内ルールを遵守しているか、倫理規定を逸脱していないかなどを確認することができます。
監査ログが監査証跡として機能するためには、コマンド操作をしたユーザーや保守運用担当者の情報、その操作に伴いシステムがどのような処理をおこない、その結果がどのような影響を及ぼしたかなど、関連する全てのデータが時系列に沿って記録、保管されていなければなりません。
監査ログを監査証跡として利用することで、システムをルール通り管理していることを証明することができます。
監査ログの必要性
監査ログがあることで、各種トラブルへの予防策を講じることができるだけでなく、実際にトラブルが発生した時にも役立てることができます。
ここでは監査ログがなぜ必要なのかについて解説をします。
1.システムの安定稼働
システムを稼働させる以上、ユーザーへ約束した水準以上の安定稼働が担保されていなければなりません。
本来意図しているシステムの動作と異なった動きをしていないかなど、運用状況をログとして保存、監視をすることで不正の兆候の察知や異常の早期発見に繋げることが期待できます。
2.不正利用への抑止力
悪意のあるユーザーによる不正利用や不正アクセス防止の観点において監査ログは有用です。
不正アクセスにより社員情報や顧客情報などの社外秘情報が外部に漏洩する可能性があります。
監査ログがあれば原因の調査が可能となります。そのため、悪意のあるユーザーにとって、監査ログが保存されているだけでもある程度の抑止力となり得ます。
3.問題発生の原因特定
悪意のあるユーザーにとって抑止力になると述べましたが、全てのトラブルを防げるわけではありません。
また、保守運用の観点では、悪意のない不正利用によるトラブルも考慮をしなければなりません。
そのようなトラブルが実際に発生した場合においても監査ログが役に立ちます。
監査ログは、システム内のどこに不正アクセスがあったのか、何の情報が漏洩したのか、侵入を許した原因は何か、などといったことを可視化することが可能です。
4.再発防止策の検討
再発防止策を検討する際においても監査ログの取得が有益だといえます。
問題発生の原因は1つだけではありません。
例えば、不正アクセス(外部要因)が原因の場合、アクセスを許可したサーバーはどこかを特定する必要があります。
また、不正利用(内部利用)が原因の場合、運用面にどのような問題があったのか、発生の要因によって講じるべき対策は異なります。
このように、監査ログがあれば、発生経路や発生の過程を把握し、内容に応じたベストな対策を検討、実行することが可能になります。
5.外部への説明責任
情報漏洩等が発生した際には、なぜそのような事態が発生したのかを関係者に説明する義務があります。
このような場合においても監査ログが説明責任を果たすための根拠材料になります。
企業では発生原因と損害状況を正確に把握して対策を決定し、プレスリリースをおこなうのが一般的です。
監査ログがあれば客観的なデータに基づいて外部への説明をすることができます。これにより、被害者の救済策を講じたり、風評被害などの二次災害を防ぐことができます。
最終的には、被害を最小限に抑えることに繋がります。
6.内部統制の整備
組織の事業活動において、コンプライアンスの重要度が日に日に増しています。
コンプライアンスは組織が健全な活動をするための規律やルールの模範であり、企業ブランドの評価指標ともなり得るものです。
監査ログがあれば、情報セキュリティの対策に加え、データの改ざんや不正利用をしていないことを証明することができます。
監査ログの種類
監査ログを有効に活用するためには、適切なタイミングで適切なデータが取得されていなければなりません。
監査ログにはいくつかの種類があり、どのような条件下で何のログを取得するのかに違いがあります。
ここでは監査ログの種類を紹介します。
1.操作ログ
ユーザーの操作履歴です。
電源のオンオフやネットワークの接続履歴、ファイルの閲覧や操作履歴など、様々な記録を保持しています。
2.ファイルログ
機器内やサーバー内にあるファイルについて、更新された処理やユーザーの編集作業に関する記録を保持しています。
3.認証ログ
各種機器の認証履歴です。
システムにログインした日時やユーザーに関する情報の他、ログインする際のエラー情報などの記録を保持しています。
4.アクセスログ
Webサイトやサーバーへのアクセス記録です。
いつ、誰が、どこから、どのサイトに接続したのかという記録を保持しています。
5.通信ログ
コンピューターとサーバー間の通信記録です。
コンピューターとサーバーの情報や通信情報などの記録を保持しています。
6.イベントログ
システム内で発生した各種イベントを記録したログです。
不具合や異常が発生したときのセキュリティ情報などの記録を保持しています。
7.通話ログ
音声通話の履歴です。
発信や着信(不在着信を含む)履歴に加え、その時刻や電話番号などの記録を保持しています。
8.印刷ログ
印刷されたドキュメントについて、対象のデータや印刷物の枚数、出力先のプリンターなどの記録を保持しています。
9.設定変更ログ
システムの設定を変更した際に記録されるログです。
権限の変更や端末の構成変更などの記録を保持しています。
10.エラーログ
コンピューター上でのエラー発生時に記録されるログです。
エラーの内容だけでなく、発生の日時や発生状況などの記録を保持しています。
監査ログの取得方法と解析
監査ログの取得方法
実際に監査ログを取得するためには、どのような方法があるのでしょうか。
以下では、その取得方法を紹介します。
1.アクセスユーザー自身で取得
ユーザー自身がパソコンメニューからログを取得する方法です。
これは最もコストのかからなく、シンプルな方法ですが、ユーザーの負担が増えることや、ユーザー自身の不正利用を見落とす可能性があります。
2.通信パケットを取得
ネットワーク上にあるパケットを取得する方法です。
ユーザーを介さずにログを取得できるため、ユーザー自身の不正行為を見落とす心配はありません。
一般的には、専任の担当者を配置するなど、適切な対応が必要です。
3.専用のシステムを導入
ログ管理システムを導入して取得する方法です。
ログの取得漏れがなくなるだけでなく、ログ取得に伴う業務負担を削減する効果も期待できます。
セキュリティ面でも大幅な強化が見込めますが、導入には予算面を考慮する必要があります。
監査ログの解析
監査ログは、取得するだけでは意味がありません。
取得した監査ログを適切に解析し、効果検証をすることでその真価を発揮します。
ここでは取得した監査ログをどのように解析、検証をするのか、そしてその結果何がわかるのか、どのような効果が得られるのかを解説します。
1.ログレポートの作成
発生回数順などのランキング形式で発生事象を表示したり、発生事象の特徴や傾向を把握できるレポートを作成することが効果的です。
作成されたレポートを確認することで、不審な動きをするユーザーの特定、原因分析や要因分析が可能となります。
2.コンプライアンスレポートの作成
ログレポートとは異なる種類のレポートを利用した解析も重要です。
この方法により、ネットワークの運用ポリシーなどのルールに違反している挙動を特定することができ、コンプライアンス対策を効率的におこなうことができます。
3.相関分析
異なるデバイスやログから発生した事象を分析し、関係性の有無を調べる解析手法です。
単一のデバイスやログだけでは捉えきれない事象でも、複数デバイスのログを掛け合わせて解析することで異常を検知する確率を高めることが期待できます。
監査ログの解析効果
次に、監査ログの解析により得られる効果を解説します。
1.正常な状態の把握、異常の検知が容易
解析結果により正常な状態を定義し、異常を検知することが容易になります。
これにより、管理運用を効率的におこなうことができ、業務改善やコスト削減に繋がると考えられます。
2.不測の事態への対応が容易
異常を検知しやすくすることで、予期せぬ事態に対応しやすくなります。
システムを安定敵に運用するためには、迅速にトラブルに対処することが不可欠です。
解析結果を活用して対策を講じることができ、リスク管理が図りやすくなることが期待できます。
3.セキュリティ対策の見直しが可能
分析結果に基づくセキュリティ対策の見直しができます。
悪意のある攻撃に狙われやすい要素など、セキュリティを強化すべきポイントを可視化することができるため、対策を講じやすくなります。
このような対策を講じる事で、システムの信頼性や継続性の向上が期待できるでしょう。
監査ログの管理方法
監査ログはその利用方法を決めるだけではなく、「どのように取得するべきか」「取得したログをどのように管理するべきか」という点についてもルールを定めておくことが重要です。
ここでは、ログを取得、保管するときのルールを解説します。
一元的に管理をする
監査ログを管理する際には、データを分散して保管するべきではありません。
可能な限り、ログを管理するサーバーを集約し、一元的に保管することが望ましいです。
その理由は、ログ管理の手順を簡素化できることと、データの把握が容易になるからです。
監査ログが作成されていたとしても、それぞれの動作の繋がりが不明瞭であれば、検証や原因究明が困難になることがあります。
ログを1つのサーバーに集約することで、一連の処理の流れを時系列に沿って確認できます。
処理の内容によって違うサーバーのログを確認するという手間が省けるため、分析作業を効率よくおこなうことが可能です。
もしサーバーを分けて監査ログを保管しなければならない場合は、中央集権的なサーバーを設けて各サーバーのログを集約する手法があります。
監査ログの取得対象を選定する
監査ログは一元的に管理することが望ましいと述べましたが、ログデータは日を追うごとに増加する一方であるため、データの保存容量には限界があります。
そのため、やみくもにログを集めるのではなく、ポイントを抑えて取得することが必要です。
例えば、セキュリティ面を強化したい場合は、外部からのアクセスに関するログ取得を優先することで、監視を強化できます。
一方で、ユーザーの不正行為の監視を強化したい場合には、、内部のアクセスに関するログ取得を優先するべきです。
また、ネットワークのセキュリティ強化をしたい場合には、複数のシステムのログが必要になるため、取得するログの組み合わせが重要になるケースも考えられます。
このように該当するシステムのキーになる部分を抑えた上で、ログの取捨選択をおこなう必要があります。
保管期間を定める
上述したようにデータの保存量には限界があるため、運用に応じた期間で保管期限を定めることが求められます。
一般的に組織内で保管ルールを設け、どの程度の期間のデータを保存するかなどを決定します。
保管期間は、分析に使用されるデータの内容やストレージによって異なります。
長期間保管しても問題無い部分もありますが、監査ログを使用して分析する内容や注力すべきポイントは組織によって異なるため、先に述べたログの取得対象選定と同様に慎重に検討する必要があります。
また、保管期限を過ぎたからといって、担当者がデータを場当たり的に削除してはいけません。
内部統制の観点から、ログの廃棄方法や手順については厳格に定めることが重要です。保管期限を過ぎたログをユーザーが定期的に削除して記録に残したり、システムに自動的に削除させたりすることを運用ルールに定めるべきです。
問題発生時を想定した対策と準備をする
監査ログを取得し、分析をすることで対策を講じることはできますが、問題が実際に発生した際の挙動を確認しておくことも重要です。
問題が発生した際の影響度合いや範囲、復旧までの時間などを把握し、迅速なリカバリー対応のための体制整備が必要です。
分析結果に基づく対策と、実際の問題発生時の対応にギャップが生じることを防ぐ役割があります。
まとめ
監査ログはシステムへのアクセス状況や更新状況などを時系列に沿って保管することで、不正利用や情報漏洩の防止、さらには社内の統制を図ることを目指すものです。
会社にとって、営業情報や顧客情報などの重要データは財産であり、適切な条件下で管理をする必要があります。
データの不正利用や情報漏洩が発覚した場合、その被害損失は計り知れないだけでなく、企業としての社会的信用の失墜にも繋がりかねません。
今回の記事を踏まえ、監査ログの有効活用、および情報セキュリティ体制の強化を図るための参考にしていただければと思います。