「内部統制のためのログ活用セミナー」
基調講演/パネルディスカッションレポート

内部統制とエンジニアをつなぐのはログだ!


宮田 健
@IT編集部
2007/3/2
2007年2月16日、青山ダイヤモンドホール(東京都港区)にて「内部統制のためのログ活用セミナー」(主催:アイティメディア株式会社 @IT情報マネジメント編集部)が開催された。本記事では終始和やかな雰囲気で行われた基調講演と、エンジニアの視点による意見が交わされたパネルディスカッションの様子をレポートする。(編集部)

 ログで「上司の締め付け」ができる?!


独立行政法人 情報処理推進機構
セキュリティーセンター
研究員 園田道夫氏

 セミナーは独立行政法人 情報処理推進機構(IPA)セキュリティセンターの園田道夫氏による基調講演、「ログで何ができるのか?」でスタートした。園田氏はまずログ管理の基本となっている内部統制の目的について触れ、統制とは締め付けること、そしてその対象を「エラい人」と定義した。不祥事とは権限の乱用であり、それが可能なのは権限を持っている人たち、つまり重要なポストに就いている経営者や経理担当者、プロジェクト管理者などである。その人たちを締め付けるのが内部統制であり、エンジニアの首を絞めるものではないということだ。

 そのためにコンピュータによるすべての活動をログとして出力し、監視することが理想的であるが、現実的には難しいと園田氏は語る。そこで特に注目すべき監視項目として、「PC」「サーバ」「ネットワーク」「会計システム」を挙げた。これらのログを取得し、監視する必要がある。

 「変な動き」を知るために必要な4種のログ

 これらのログを取得することで分かることとは何か。園田氏は以下のようにまとめた。

対象
具体的には
何が分かるか
PCログ

・イベントログ
・プリフェッチログ【参考】

どのアプリケーションを使ったのか
サーバログ

・ファイルアクセスログ
・システムログ
・メールサーバログ
・Webサーバログ

どのファイルにいつ、誰がアクセスしたのか
誰と誰が、いつ通信したのか
ネットワークログ

・ルータ
メッセンジャー
・IPフォン

誰と誰が、何をやりとりしたのか
(より下位レベルでの情報)
会計システム ・会計パッケージソフトの監査ログ どんな会計データを誰が、いつ、どうしたか

【参考】
プリフェッチログについては以下の記事を記事をご参照ください
Windows XPとは何か?(18) アプリケーション起動の高速化
http://www.atmarkit.co.jp/fwin2k/special/winxp_over/winxp_over_19.html

 これらの情報により、ファイル、アプリケーションをいつ誰が操作したのかが分かるだけではなく、1つのログを改ざんされてもほかのログで補完ができるため、複合的な検証が行えることが利点である。また、会計システムについてはERPパッケージに用意されている監査機能を用いることで、誰がどのような操作を行っているかを常に記録することが必要だ。

 さらに園田氏は、何かが起きてからデータを取るのではなく、平常時のトラフィック量を把握しておくことが重要であると語った。例えば横領や使い込みなどの不正操作を行う場合、データの取扱量や処理頻度が大きく変化する。その変化量を知るためには、「異常ではない状態」を知っておく必要があるのだ。

 また、「電子的なデータだけではなく、人間の振る舞いもチェックすべきであり、こちらの方が検知確度は高いかもしれない」とも語る。システム的なチェックも当然ながら、「急に羽振りが良くなった」「行動が以前と変わった」というような人間的なサインも重要である。

複数のログを取ることが重要である

 アピールこそが予防策、しかしすべてを明かす必要なし

 ログを戦略的に取得することで、不正操作があったとしてもその痕跡から調査を行うことができる。では、このような不正操作自体を予防することはできないのだろうか。園田氏はこれらのログ取得をアピールすることにより、「すべての行動は記録されている」という印象を与え、心理的なハードルを上げることで不正を防止できるのではないかと語る。監査役に対するレポートを社内にも公開し、情報を流通させることで「こんなことまで分かってしまう」という想像をさせることが抑止効果を生むのである。

 ただし、具体的な手法を明かす必要はない。「どのような方法かは分からないけれども、情報システム部はログを消しても復元できるし何をやっても行動を追いかけてくる」という印象を与えることで、予防のための効果を最大化できる。これを園田氏は「技術を『魔法化』する」と呼び、外部に対しては方法をブラックボックス化することを勧めた。

 園田氏は最後に「仮想敵は経営者、しかし、アプローチはあくまでフェアに」とまとめた。経営者は経営の権限を持っているが、システム上のログに対するアクセス権限まで渡す必要はない。内部統制の主役は経営者だけではなく、エンジニアも「ログの管理・活用」という重要な役割を担っているのである。

【関連記事】
初級システム管理者のためのセキュリティ入門「にわか管理者奮闘記」

http://www.atmarkit.co.jp/fsecurity/rensai/beginner01/beginner01.html

1/2

Index
内部統制とエンジニアをつなぐのはログだ!
Page1
ログで「上司の締め付け」ができる?!
「変な動き」を知るために必要な4種のログ
アピールこそが予防策、しかしすべてを明かす必要なし
  Page2
エンジニアの視点で語る「ログ活用」
ログ活用とは「可視化」なり
ログ管理ツールを買わせる秘策は?

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH