＠IT情報マネジメント編集部主催の「内部統制のためのログ活用セミナー」が、2007年2月16日に青山ダイヤモンドホールにて開催された。日本版SOX法の施行開始を間近に控えて内部統制に高い関心が集まっていることから、多くの参加者が集まった。独立行政法人　情報処理推進機構（IPA）　セキュリティセンター　情報セキュリティ技術ラボラトリーの園田道夫氏の基調講演に続き、さまざまな視点からの4つの講演が行われた。ここでは、各企業によるセッションの内容を紹介する。

イベントレポート インデックス
	「内部統制時代の統合ログ管理」 ――リエンクリプション・テクノロジーズ
	「ログ管理で何を行えばよいのか−目的と手段−」 ――マクニカネットワークス
	「ログ管理はIT全般統制の第一歩 内部統制実現に向けたログ管理の活用」――ビーエスピー
	「実践！ログ活用テクニック」――インテリジェント ウェイブ

セッション1：リエンクリプション・テクノロジーズ 「内部統制に向けての統合ログ管理」

●ログの一元管理が有効活用の第1歩

リエンクリプション・テクノロジーズ 執行役員　川原一郎氏

　日本版SOX法や新会社法などの法律によって、内部統制、特にITの内部統制という言葉がポピュラーになり、これまでシステム管理者がシステムが正常に稼働していることを確認するためのものだったログが、IT内部統制にも利用できるのではないかということで注目を浴びるようになってきた。しかし、およそどのようなシステムでもログをはき出しており、大抵はそれを何らかの形で取得しているとはいえ、情報漏えいなどの事故が発生した場合などいざという時に本当にそれが活用できる状態になっているだろうか。

　ひとくちにログといっても、さまざまな機器やシステムのログがある。例えば、ファイルサーバへのアクセスログやPCの操作ログの他に、内部統制に活用するならサーバルームへの入退室のログといったものも必要だ。そして、これらの必要とされるログをすべてきちんと取得しているとともに、各システムのログを横断的に横串で検索できることが重要なのである。また、システムの正常稼働を確認するだけならばただログをとってシステムごとの担当者がそれを見ていればいいが、内部統制の有効性評価の場面では各種ログを横断的に集計しさらにその結果が監査に使えるレポートとして作成できるような、可視化の仕組みも不可欠となる。

　まず問題点として挙げられるのは、これまでのシステムごとのログ取得では一元管理ができていないため統計がとりにくいということである。ネットワーク機器や各種サーバ、各種業務システムのログがあらゆるところに点在しており、各システムの管理者がいないとログがどこにあるかも分からないという場合も多い。このため集計してグラフ化するなどの統計データを作ることが困難なのだ。また、ログの管理についても、さほど気を遣っていない場合が多いのではないだろうか。今後、ログは事故や事件が起きた際の法的証拠として重要なものになるので、証拠保全やいかに安全に保管するのかといった運用面も重要となる。そして、ログが改ざんされていない正統なものであることを証明できなければも法的な証拠として使うことはできない。

　そこで求められてくるのが、ログの統合管理である。必要とされるのは、「生ログの保存」「改ざん防止」「高速検索」「横串検索・集計」「一元管理」といった機能だ。フォレンジックやコンプライアンスという観点では証拠として原本性が求められるため、生ログを保存するという機能が必要となる。そして、証拠として活用するためには改ざんされていないという正当性を保証できなければならない。また、いくつものシステムのログを管理するためデータ量は膨大となり、その取り出しに時間がかかる。検索が高速に行われないと、実用には耐えない。さらに、各システムやPCなどのログを横断的に検索したり集計する機能や、あらゆるログにおいてフォーマットを問わず一元的に管理できる機能が必要となる。

　リエンクリプション・テクノロジーズでは、これらを実現する統合ログ管理システムとして「Logstorage」という製品を提供している。講演の最後には、デモンストレーションを通じてその機能や使い勝手が紹介された。

　Logstorageでは、生ログを保存するとともに、それぞれのログにタグを付けて意味づけし、さまざまな条件でシステム間を横断した検索や集計が可能となっている。また、検索はWebブラウザから操作でき、特別なイベントビューアなどは不要である点も使いやすい。さらに、ログには電子署名を付加して、正当性を証明している。統計データのグラフ化やそのPDF出力も可能であり、登録したキーワードを検出したら管理者にメールしたり、サービスを停止させるようなユーザーコマンドを実行したりすることも可能だ。これからの内部統制に向けては、ログを統合管理することでただたまっていくログをいかに有効活用するかが重要となるだろう。

お問い合わせ先：info@reenc.jp
当日のプレゼン資料をダウンロードしていただけます。画像をクリックしてください。

セッション2：マクニカネットワークス 「ログ管理で何を行えばよいのか　−目的と手段−」

●セキュリティ担当者のモチベーションを下げない体制を作る

マクニカネットワークス ストラテジックマーケティング室 室長　一丸智司氏

　ログデータはあらゆるところで発生している。そして、ログの利用目的は、当初のシステムの正常稼働の確認から、障害時の原因調査や証拠としての利用へと広がった。ルータなどの各種ネットワーク機器、ファイアウォールやVPN装置、IDSやアンチウイルス装置、脆弱性スキャナなど、ネットワークセキュリティ関連のほか、サーバやデスクトップOS、アプリケーションやデータベースのログもあり、その量は膨大でそのままでは人間が解読することは不可能だ。それぞれの機器で蓄積されていくログは、システムAでは記録領域が余っているのにシステムBではストレージを追加しなければならないなどの分割損を生み、どこにあるか分からない、調査しなければならないデータがすでに上書きされていたなどのトラブルの元となっている。こういった問題はログをすべて一元蓄積することである程度解決できるが、それだけですべてが解決するわけではない。

　特にセキュリティ関連機器には単独機器からの情報だけでは真の脅威を発見するのが難しいといった問題がある。例えば、ネットワークの外側に設置しているIDSから重大なセキュリティアラートが上がってきたので最優先で調査をしたら、実はファイアウォールがすでに止めていたり、サーバのアップデートが済んでいるので危険はなかったといったといったことだ。これは、それぞれの機器に対して独立したセキュリティ調査を行っているためで、実際には重要ではないアラートにさらされ続けると、担当者は次第にモチベーションを失って本当に危険なアラートを見逃すことにもなりかねない。さらに、それぞれの機器のログはフォーマットや管理用コンソールが異なり、ファイアウォールのコンソールのメッセージの内容は変わるがIDSはよく分からないといったこともある。そのため、全体を把握するには分からない部分をその担当者に調査依頼しなければならないなど、時間や手間のロスが発生しやすい。

　複数のセキュリティ機器からの情報を的確にリンクするためには、対象となっている機器を表す情報としてIPアドレスではなく、統一されたユーザーIDで行わなければならない。ところが現状ではユーザーIDは各システムごとにばらばらに設定されており、統一されていないため連携を取るのが難しい。この問題を解決する仕組みとして昨今注目されているのが、 アイデンティティマネジメントだ。

　システムごとにユーザーIDが異なっていたり、セキュリティ対策機器が問題のあるPCをIPアドレスで名指ししてきたりすると、それがいったいどのPCなのか、問題を起こしたのは誰なのかが分からない。そこで、各社員に固有の統一したIDで社内のシステムすべてにログインする仕組みにしようというものだ。これは、かつて話題になったシングルサインオンと似ているが、シングルサインオンが複数のユーザーIDとパスワードを使うわずらわしさから解放されるための、いわば便利のためのシステムであったのに対して、アイデンティティマネジメントは内部統制のためのものだ。必ず1人に1つのIDをひもづけ、全システム共通にする。共通アカウントなど、誰がアクセスしたか特定できないIDは排除し、退職者のIDを確実に削除するといったことが必要だ。

　セキュリティ脅威があった場合に迅速に対応する体制が必要だが、問題が発生してから調査するというのはとても大変だ。例えば重大な情報漏えい事故が発生し「明日の17:00に記者会見をするからそれまでに資料をそろえるように」と言われたとしたら、セキュリティ担当者は頭を抱えることだろう。つまり、何かあってからの対応ではなく、必要なのは体制であってPDCAサイクルが回っていることが重要なのである。その結果、新たな脅威に対応でき、組織やシステムの変更にも柔軟に対応できる。

　これをシステムとしてサポートするものとして、マクニカが提供しているのはIT統制ソリューション「ArcSight ESM」だ。ネットワーク機器やセキュリティ対策製品だけでなく、基幹業務系システムなどさまざまな製品のログのフォーマットの差を吸収し、ITシステム全般に対するリアルタイムモニタリングによるセキュリティ監視とレポーティングを実現する。これからのコンプライアンスのためには、定期的なレポートにより企業のトップまで含めた状況把握をしておくべきだろう。

お問い合わせ先：sales.arcsight@cs.macnica.net
当日のプレゼン資料をダウンロードしていただけます。画像をクリックしてください。

セッション3：ビーエスピー 「内部統制実現に向けたログ管理の活用」

●不審な動きを把握するためのログ管理

ビーエスピー プロダクト推進部 統括リーダ　結城淳氏

　ビーエスピーは、メインフレームのジョブ管理製品などITシステムの運用管理ソリューションの、開発およびコンサルテーションやシステム構築、運用などをサービスとして提供している。IT統制実現に向けて同社が提供するのは単なるソフトウェア販売ではなく、現状把握や企業ごとの特性に合った形でのコンサルテーションとアセスメント、そしてシステムの設計・構築まで含めたトータルなサービスだ。

　内部統制のフレームワークとしては、COSO（the Committee of Sponsoring Organization of the Treadway Commission）が事実上の世界標準となっている。その中で構成要素として挙げられているのは、「（1）統制環境」「（2）リスクの評価」「（3）統制活動」「（4）情報と伝達」「（5）モニタリング」「（6）ITへの対応」の6つだ。同社がシステム部門における内部統制への関心についてアンケートを行ったところ、興味があるという回答が最も多かったのはログ管理であり、次いでサーバ監視、ジョブ管理という順番であった。6つの構成要素の中で特にログと密接な関係があるのは、「（2）リスクの評価と対応」と「（5）モニタリング」である。

　（2）は「組織目標の達成を阻害する要因をリスクとして識別、分析および評価し、当該リスクへの適切な対応を行うこと」と定義されている。つまり、業務処理が正しく行われていなかったというリスクを識別するということだが、稼働履歴であるログがなければ、正しく稼働していなかったということを認識できない。また、（5）は「内部統制が有効に機能していることを継続的に評価するプロセス」と定義されていが、ログがなければモニタリングする材料がない。

　企業の業務処理は、代表的なものだけでも「受発注システム」「人事給与システム」「会計システム」「営業支援システム」「購買システム」「帳票出力システム」など多数あり、それぞれのシステムで処理結果、つまりログが出力される。また、UNIX／LinuxサーバのSyslogやWindowsサーバのイベントログ、データベースのアクセスログなど、特別なツールを導入していなくても自動的に出力されるログが多数存在する。さらに、企業によってはまだメインフレームを利用している場合もある。あちこちに点在するこれらの膨大なログを集約しておかないと、証跡情報としては役に立たない。いつ、誰が、何を、どうしたの証跡を把握するには、ログの収集、保存、活用が第一歩であり不可欠なのである。

　ビーエスピーの証跡管理ソリューションとしては、ログ収集と管理・分析を行う「Loganizer」の他、ログを生成する「QND plus」やサーバ監視を行う「Sky-Eye Tribune」、データベースのセキュリティログを収集する「IPLocks」、メインフレームのログを収集する「A-LOG」など、さまざまの製品がある。これらを利用して、例えば月間のサーバアクセス件数調査を行うことで、各サーバに対する利用頻度が把握でき、サーバの必要性や重要性が明確になる。また、使用を許可していないIDによるサーバへのアクセスを調査すれば、セキュリティの向上につながる。頻繁にサーバへのログインを失敗していたり何日もログインしたままだったりといった不審なユーザーIDをチェックすることで、不正アクセスの兆候を見つけることもできる。さらに、時間帯別にログインしているユーザーIDの調査を行うことで、休日や深夜など不自然な時間帯のサーバ使用なども検知できる。特に、通常の利用時間帯以外は重要なバッチ処理やメンテナンス処理が実行されている可能性が高いので、このようなサーバ利用はシステムに影響を与える可能性がある。これらを発見することは、システムの安全性を向上させる効果もある。

　内部統制のためには、管理だけでなく運用にも取り組む必要がある。運用がきちんとルール化されていることが重要だろう。

お問い合わせ先：product@bsp.co.jp
当日のプレゼン資料をダウンロードしていただけます。画像をクリックしてください。

セッション4：インテリジェント ウェイブ 「実践！　ログ活用テクニック」

●「ワークフロー」に対応できるツールこそが望まれている

インテリジェント ウェイブ セキュリティシステム事業部 開発本部　開発部 新商品開発グループ プロジェクトマネージャー 小出研一氏

　インテリジェント ウェイブは、クレジットカードビジネスのフロント業務や犯罪防止システムの開発を行っている。ここでは、他のセッションとは趣向を変えて、内部統制のシステムには何が必要かをシステム開発の視点から考えてみた。

　まず、鍵となるのはIT全般統制を強化する情報セキュリティ統制だ。情報セキュリティは内部統制の一部分であるとともに、基盤とも言える。しかしながら、情報セキュリティのリスクは多種多様だ。情報セキュリティというと、外部からのアタックを連想しがちだが、それだけでなく何らかの方法で正当なアクセス権を得た攻撃者であったり、内部犯行、あるいはただのうっかりミスまで、社内にある脅威の方が外部からのものよりもはるかに多いのが現実だ。

　これらすべてに対処するには人員不足であったりコストがかかり過ぎるし、そもそもどうしてよいのかよく分からないということも多いだろう。そこで外部の専門家に依頼したり、ツールの活用、セキュリティ対策システムの構築といったテクノロジーの利用が必要となるのである。ただし、会社の業務システムというものは、各社で異なる。いわばオーダーメイドの一点物のようなものなので、情報セキュリティ、内部統制に関しても、ツールやシステムの活用の際には、それぞれに合わせてカスタマイズが必要だ。

　インテリジェント ウェイブは現在、情報セキュリティ統制のためのログ活用ソリューション「LOGROW（ログロウ）」の開発を行っている。これは、「さまざまなシステムのログを大量に収集しているが有効活用していない」「基幹システムだけでなく複数のセキュリティ製品を組織内で導入している」「ログを管理していなかったり、していても個別に評価しているためセキュリティ統制資料にならない」といった課題を解決するためのものだ。

　まず、開発の際には、ログ活用のポイント整理からコンセプトを考えた。必要な機能は、まずさまざまな製品のログを取り込めること。そして、コンプライアンス重視のPDCAサイクル実施にフォーカスした。ちなみに、PDCAサイクルには、会社の方針としてのポリシー策定や監査といったラージサイクルの他に、業務を行う現場での方針確認や監視、上長からの確認・評価・教育・処罰といったスモールサイクルがある。そのため、ログ活用のためのレポートとしては、経営層のワークフローと結びつく統計的なレポートの他に、何かあったらその原因者を特定して注意なり処罰が可能なための、個別行為を特定可能なリストが必要だ。

　フォレンジックの機能については、監査証拠として原本ログを保管することは重要である。しかし、サイジングが難しい。そこで、LOGROWではログ分析とログ保管は疎結合とし、分析結果と原本ログの関係性を保持するという方法をとった。また、分析方法については、リアルタイム分析は犯人を捕まえることはできるかもしれないが、ログ活用ではリアルタイムであっても防御はできない。しかも、防御できないにもかかわらず、内部統制専任の監視者が必要となってしまう。そこで、分析システムとデータ保管のシステムを設計しやすいバッチ分析の方がよいと判断した。通常分析と事件・事故の際の調査分析でシステム構成が同じでよいし、各システムのログを横断的に分析できる。

　ログ活用システム全体に対するスケジューリングや既存システムとの親和性といったログ収集の部分の機能に加えて、フィルタリングやポリシー分析、A.I.分析などさまざまな分析機能が考えられるが、実際にシステムに必要な機能は何かというと、実は人によってワークフローが異なり、ワークフローによって必要な機能も異なるという事実に突き当たる。つまり、ツールはワークフローを見据えたプラットフォームである必要があるということだ。そのため、プラットフォームと、容易に追加できるコンポーネントで構成されていることが望ましいだろう。ログ活用は、製品だけでは完成しない。個々のワークフローに沿った形でのカスタマイズこそが重要なのである。

お問い合わせ先：cwatsales@iwi.co.jp
当日のプレゼン資料をダウンロードしていただけます。画像をクリックしてください。