Loading
|
|
|
|
Loading
|
| @IT > 内部統制のためのログ活用セミナー レポート |
 |
|
|
|
 @IT情報マネジメント編集部主催の「内部統制のためのログ活用セミナー」が、2007年9月14日に青山ダイヤモンドホールで開催された。内部統制監査おいて最も重要な役割を果たす「ログ管理」にフォーカスを当てたセミナーで、日本版SOX法の施行を間近に控え、ログの管理や活用に悩んでいる多くの参加者が集まった。 基調講演では公認会計士である丸山満彦氏が、内部統制および日本版SOX法におけるログ管理の必要性について解説した。 丸山氏は、内部統制には「予防的統制」と「発見的統制」の2つがあり、ログ管理は発見的統制において重要な意味を持つと指摘。ログ管理はあくまで手段であり、“何を証明するために、どんなログを採取するのか?”という目的を明確にすることが大切だと訴えた。そして、複雑なログの管理を正確、効率的に実施するためには、自動化が不可欠であると説いた。 基調講演の後は、4つのセッションが行われ、ログの管理・活用を支援する注目のツールが紹介された。さらに、セッション終了後には、各セッションの講演者をパネリストに迎えたパネルディスカッションを実施。内部統制におけるログ管理の重要性について活発な議論がかわされた。ここでは、JIECの川端氏、ソリトンシステムズの大野氏、高橋氏、網屋の石田氏によるセッション内容を紹介する。
●ミッションクリティカルなシステム開発で培った技術力を生かす
JIECは、ミッションクリティカルな「止められないシステム」の開発・運用経験で培ってきた技術力を生かし、企業と社会をつなぐシステムを支えている。 内部統制分野に関しては、大規模企業からの要望に応える形で、コンサルティングから実際のシステム運用までをカバーする内部統制基盤ソリューションを、他社に先駆けて展開。すでに3年以上の実績を持ち、「内部統制基盤」というキーワードでは各検索エンジンの上位に表示されるほどだ。 日本版SOX法の施行が目前に迫るなか、いまから始める内部統制のポイントとしては、(1)合理的保証の範囲でできることから始める、(2)継続的な運用を考慮した仕組みを作る、の2点を挙げた。 そして、この2つのポイントを実現するキーワードが「ログの管理・活用」であり、内部統制におけるIT活用の基本となると考えているという。 ログを活用することで、内部統制の現状を正確かつ客観的に把握できるようになる。具体的には、ログによって自己正当性を証明できるとともに、PDCAにおける評価と改善活動を行えるほか、問題発生後の原因究明や再発防止にも役立てることができる。 さらに、COBITにおける内部統制実施基準の要求レベル(レベル4:管理されている)を満たすためにもログ管理は必須であり、レベルに応じて問題の発見から対応、評価に活用していくことで、COBITの成熟度向上にも寄与する。現在、COBITの成熟度に応じてさまざまな内部統制対応の製品・ソリューションが存在するが、すべてのレベルにおいて有用なのはログ活用ソリューションだけであるとした。 では、実際にログ統合管理システムを導入するに当たって、どんな問題が障壁になってくるのか。 ログの統合管理においては、(1)ログ収集、(2)ログ蓄積、(3)ログ抽出・活用の3フェイズでそれぞれ、陥りがちな落とし穴が存在する。 ログの収集では、「ログの収集対象と収集目的が一致していない」、「管理対象のシステム、アプリケーション、サーバ台数が想定以上に増加した」などの落とし穴があり、これによって人件コスト・人的負荷の増大を招く。ログの蓄積における落とし穴は、「ログの容量が想定外に増大した」の1点に尽きる。ストレージ不足によって、ハードウェア・ソフトウェアの追加投資が必要になる。 そして、ログ抽出・活用については、「分析対象データ容量が大きくなり過ぎて、データ抽出ができなかった」「解析ツールが一度に扱えるデータ量よりも分析対象データ容量が大きくなった」などの落とし穴がある。これにより、蓄積したデータをタイムリーに活用できないといった問題点が生じてしまう。 こうした落とし穴を回避するためのベストプラクティスとして、JIECでは企業セキュリティ分析、コンプライアンス監査向けソリューション「SenSage」を提供している。このソリューションは、独自エンジンによって、大量ログデータの高圧縮、自動データ分散配置、高速検索処理などの高い機能を実現しているのが特徴。ただ、これらの機能を有効に活用するためには、「システムログに対する知見」「システム連携」「大量データ処理」が重要な要素技術となり、そのために高度な基盤技術が必要となる。 一方、「合理的保証」の範囲で最小限の労力、コストでログ管理を始めたいという企業向けにはSaaSモデルのログ統合・証跡管理サービス「Log Shelter」を提供している。このサービスは、内部統制対応の基本であるログの取得、保管、分析機能をネットワーク上で月額従量制で提供するもので、初期投資を抑え、迅速なログ活用が可能となる点が特徴だ。 いまからログ管理を始めるに当たって、これら2つのソリューションを選択するポイントは以下の通りだ。まず、独自アプリケーションなどの多様で大量のログデータを自在に活用したいケースではSIを伴う「SenSage」を選ぶべきだ。そして、短期間・省リソース・低コストで“まずは必要最小限のレベルから内部統制に対応したい場合”には、限定的なログ種別・分析レポートをSaaS方式で提供する「Log Shelter」を選択するなど、目的に応じてシステム形式を選ぶことが重要になってくる。
●PC利用者の操作ログを収集して現状把握をしてみては?
ソリトンシステムズでは、内部統制のための情報セキュリティソリューションとして、PCの操作ログ収集・解析を行うソフトウェア「InfoTrace(インフォトレース)」、および記録した操作ログを分析してレポートするサービス「InfoTrace-OnDemand」を提供している。 日本版SOX法の施行を前に、企業では内部統制のためのセキュリティ対策が非常に大きな課題となってきている。テレビやメディアでも、内部統制の話題がさかんに取り上げられているが、実際のところは「何から始めたらいいのか分からない」という企業が多いのも現状。 そこで、まずはPC利用者の操作ログを収集して、現状把握するところから内部統制を始めてみてはどうか、と大野真理子氏は提案する。どの業種も、PCを使用して仕事をする現在、その操作ログを収集して確認することは、適正に業務が行われているかを知ることにつながる。そのためのツールとして、ソリトンシステムズが提供しているのがPC操作ログ収集・解析ソフトウェア「InfoTrace」だ。 「InfoTrace」は、端末操作監視・ログ管理ソフトウェア部門で2年連続国内シェア1位を獲得しており、金融・証券・保険関連を中心に幅広い業種で多くの導入実績を持ち、最近では宗教団体やお寺でも活用されている。 このソフトウェアは、クライアントPCにエージェントを組み込むことで、いつ、誰が、どのPCで、どのデータを、どのように操作したのかを逐一記録して、ログサーバに送信する。ファイル操作から、印刷操作、さらには電源オン/オフ、ウィンドウタイトルといったデスクトップ操作までを記録できる。また、カーネルレベルでログ収集を行うため、アプリケーションのバージョンや、プリンタのメーカー・機種などに依存することなくログを収集できることも評価されている要因だろう。 「InfoTrace」のもう1つの大きな特徴が「TraceBrowser」による検索・追跡機能だ。検索機能としては、多彩な条件を組み合わせて、串刺し検索や絞り込み検索など高度なログ検索が可能となっている。そして、追跡機能では、「拡散トレース」と「バックトレース」の2種類を用意。 「拡散トレース」は、サーバ上にあった親ファイルが複数のユーザーからコピー、印刷されるといった拡散状況を追跡することができる。一方、「バックトレース」は、ファイル名が変更される場合でも、元の親ファイルをワンクリックで逆追跡できる機能となっている。 さらに、任意の操作条件を設定し、管理者にアラート通知する機能を活用することで被害の拡大を防止できるほか、ICカードを使ったセキュリティ製品「SmartOn」との連携により個人認証機能を強化することも可能となる。なお、海外拠点を持つ製造業の顧客企業からの要望に対応し、「InfoTrace」の英語版も提供している。
この「InfoTrace」をベースに、PCの操作ログを収集・管理してレポートするサービスが「InfoTrace-OnDemand」だ。さまざまな情報セキュリティ対策を実施したものの、ルールやセキュリテポリシーを守らなければ情報漏えいリスクは増加する。また、不適切なPCの利用が生産性を低下させコスト増を生む現状に悩む企業も少なくない。 こうした企業にとって重要なのが、セキュリティ対策やPCの利用状況を適切に把握することであり、そのためのサービスとして「InfoTrace-OnDemand」を提供すると高橋修一氏は説明する。操作ログのレポートは、SaaS形式で一括提供されるため、適切な現状把握とともに、運用負担の削減を図ることも可能となる。 具体的に「InfoTrace-OnDemand」でレポートされるのは、USBへのコピー、プリンタ、メールやWebブラウザへのファイル添付、P2Pといった、情報漏えいにつながる操作とWebブラウザの閲覧履歴、ゲーム、インスタントメッセンジャーといった目的外の利用状況。レポートでは、それぞれの操作が1日にどれだけ行われたのかをグラフで確認することができ、さらに誰が、いつ、どんな操作をしたのかまで詳細に確認できる。 情報漏えいの経路は、紙媒体が40%強を占め、Web/インターネットが20%強、USBなど可搬記憶媒体が約10%、そのほかPC本体や電子メールなどとされているが、「InfoTrace-OnDemand」を活用すれば、これらの経路の80%以上を「見える化」することが可能であり、より適切な情報セキュリティリスク管理を実現すると共に、PCの目的外利用の是正により、大幅な生産性の向上を実現できるはずだ。
●600社以上の導入実績が裏付ける内部統制対応のポイント
網屋では、早い時期から主に大手企業に対して、セキュリティにかかわるコンサルティング業務を手掛けてきた。 内部統制に関しても、IT統制用監査報告書作成ツール「bv-Control」およびサーバアクセスログ監査ツール「ALogコンバータ」を4年前から販売しており、金融業や製造業を中心に、合わせて600社以上の導入実績を持っている。 内部統制については、その定義とログの活用法がまだ正確に理解されていないのが現状だ。内部統制を理解するキーポイントとしては、内部統制対応と情報漏えい対策は、「本質的に意図と目的が異なるものである」という点が挙げられる。 内部統制対応は、財務会計上の統制不備がないように報告書を提出し、会計監査法人から評価を受けることが大きな目的であり、ITシステムの情報漏えい対策とは直接関係するものではない。また、情報漏えい対策は、個人の犯罪防止のために行われるものであるのに対し、内部統制対応は、粉飾決算など会社ぐるみで会計上の不正が行われないようにするものであり、両者の目的は大きく異なっている。 内部統制対応の対象範囲は、「全社的な内部統制」「業務処理統制」「IT統制」という3つに作業範囲に分かれており、この中で情報システム部門の責任範囲となるのが「IT統制」だ。 IT統制対応の問題点として挙げられるのが、(1)具体的な統制対応策が見つけられない、(2)セキュリティ対策を施しても完全性は伴わない、(3)適度なセキュリティ対策レベルをトップが理解してくれない、(4)継続的な運用に労力をかなり消費するの4点。これらの問題を解決するには、統制対応の目的を「自己の保全証明」に絞り、無理な統制対応を行わないことが重要である。 そして、内部統制においてログを最大限に有効活用するポイントとしては、(1)安定稼働するツールを選択する、(2)既存のサーバ/ネットワークに影響を与えない、(3)膨大なログを処理できる設計がなされている、(4)意味のあるログを取る、(5)実績のあるツールを選択することが大前提となる。 この条件を満たすツールとして、最近、需要が高まっているのが、網屋の提供するサーバアクセスログ監査ツール「ALogコンバータ」だ。このツールは、企業のセキュリティ監査対応としてのサーバアクセスログ管理を、大規模な環境からでも安定して運用することができるアクセスログマネジメントソリューション。大量のアクセスログをコンパクト化して保管することができるとともに、不審アクセスの追跡や特定ユーザーの行動履歴などを容易に抽出・検索することができる。 また、OSのイベントログをそのまま活用してファイルアクセスログファイルを生成する仕組みで、サーバにエージェントを設置する必要がないため、ファイルサーバ側に常時負荷を掛けることなくログの収集が行えるとともに、ログを圧縮してから中央に集約させることで、ネットワークに負荷を掛けずに、帯域の細いWAN環境や、大規模なサーバ環境であっても容易にログ収集ができる点もこの製品の大きな特徴となっている。 さらに、単純にOSのイベントログを保管するだけだと、アクセスログに関係しない情報まで大量に出力されてしまうが、ALogコンバータでは、「誰が、いつ、どのファイルを、何をしたか?」というアクセス履歴のみを生成し、重複するログは1行にまとめて整形処理を行う。これにより、見やすく、容量も小さなログファイルを生成することが可能となる。 このほか、大量に保管されたログを長期にわたって運用できるように設計している点も特徴だ。整形したアクセスログファイルをCSVフォーマットファイルとDBフォーマットファイルの2方式で作成することで、「大容量のログ保管」と「高速のログ検索」を実現している。
提供:株式会社JIEC ソリトンシステムズ株式会社 株式会社網屋 企画:アイティメディア 営業局 制作:@IT 編集部 掲載内容有効期限:2007年11月11日 |
|
|||||||||||||||||||||||||||||||||||||||||||||||
