「内部統制のためのログ活用セミナー」
基調講演/パネルディスカッションレポート

内部統制とエンジニアをつなぐのはログだ!


宮田 健
@IT編集部
2007/3/2

 エンジニアの視点で語る「ログ活用」


パネリスト:
リエンクリプション・テクノロジーズ 
川原一郎氏
マクニカネットワークス 
一丸智司氏
ビーエスピー 
結城淳氏
インテリジェント ウェイブ 
小出研一氏

モデレータ:
トライコーダ 
上野宣氏

 セミナーの締めくくりとして、「内部統制で本当に必要なログは何か?」と題し、パネルディスカッションが行われた。セッション参加企業の方々をパネリストとして迎え、モデレータは「Security&Trustウォッチ」を連載する上野氏が担当した。ユーザーの立場でどのようにログを活用するか、ということを主眼にしたパネルディスカッションは、終始和やかな雰囲気で本音のトークが行われた。

 ログ活用とは「可視化」なり

 最初のテーマは「ログ活用とは何か?」という定義から始まった。この問いに対しての回答は「可視化である」と全員が一致した。普段はシステムの定常運用とともに作成され続けているが、日陰の存在であるログに脚光を浴びせ、何が起きているか、何が起きていないかを判断するためにログを「見える化」することがログ活用であるという。

 ではログを可視化できたとして、どのような効果が得られるのであろうか。モデレータのこの問いに対しては「ログを取得するということで直接売り上げに貢献するということはない」としたうえで、一丸氏はアメリカでの事例を挙げた。

 内部統制で先行するアメリカの場合、不正アクセスだけに注目するのではなく、正しい権限による正常なアクセスの記録もすべて取られているという。これはエンジニアの視点から見るとチェックすべきログの量が増えるため生産性が低く、一見やり過ぎに思える。しかし彼らにとっては、ここまでやっているという事実こそが、自分たちが正しいことをしているという考えの基本になっているという。つまり、ログを取ることでのモラル向上を狙うことができ、間接的ではあるが売り上げ向上につながる可能性があるという指摘である。

パネルディスカッションの様子

 ログ管理ツールを買わせる秘策は?

 セミナー参加者の事前アンケートで「取得しているログは必要なときに閲覧できますか?」という問いに対して、「閲覧手順が煩雑で困難」が30.1%、「よく分からない」が37.8%と、自社で作成されるログを統合的に閲覧する手法がないというのがほとんどであった。

取得しているログは必要なときに閲覧できますか?
 すべてのログが統合管理され簡易に閲覧できる
5.6%
 統合管理されていないが比較的簡易に閲覧可能
26.5%
 閲覧手順が煩雑で困難
30.1%
 よく分からない
37.8%
表1 ログ閲覧の現状(参加者の事前アンケートより)

 これはほとんどの企業において、ログ管理の手段が浸透していないことを表している。では、ログ管理ツールを導入するにあたり、上司を説得するための良い方法はないか、というテーマで討議を行った。

 このテーマに関しては多くのパネリストが「内部統制」や「日本版SOX法」というようなキーワードが有効であることを挙げた。ログ管理というと運用ツールの分野であるという認識が強く、経営者からは楽をしたいだけなのではないかととらえられてしまう可能性がある。そのため、「運用ツールではなく日本版SOX法のツールとして考えるべきである」(川原氏)、「ログ管理ツールをシステムのインフラとして意識させる」(結城氏)ということが重要なのではないかという意見が出た。また、アメリカでのSOX法第404条を例示し、「提出書類に不備があることでCEO、CFOが刑事罰になる可能性がある」(一丸氏)ということも強いメッセージになるという。

 さらに、2007年2月15日に金融担当大臣へ提出された、日本版SOX法の実施基準に関連する意見書には、モニタリングについて具体的な記述が見受けられる【参考】。このように法制度による後ろ盾ができたいま、説得する材料はそろいつつある。

【参考】
日本版SOX法の「基準」「実施基準」が正式決定 − @IT
 http://www.atmarkit.co.jp/news/200702/15/sox.html

財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)
 http://www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.pdf
モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。モニタリングにより、内部統制は常に監視、評価及び是正されることになる。モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価がある。両者は個別に又は組み合わせて行われる場合がある(14ページより引用)

 さらに興味深い話として、今回唯一開発者として参加した小出氏は、営業支援で各社を回った経験から「ログ管理のニーズについては、企業のトップは直感でうすうす気付いている」と語った。当然ながら現場の人間も必然としてニーズに気が付いているので、実は理解していないのはその間にいる決裁権者だけではないか、ということだ。そのため、まずは経営陣にニーズを直談判し、さらに上位の決裁権者とあらかじめネゴシエーションしておくというのも有効な方法であるということだ。


  ログの活用方法は業務プロセスにより異なるため、取得対象、保存期間、集計項目などの指針を一般化するのは難しい。そのため、計画(plan)、実行(do)、評価(check)、改善(act)のPDCAサイクルを常に回し続けることが重要となる。エンジニアはすでにログと密接に関係している。そこから1歩踏み込んで、ログを活用するとは何かを考えてみてはいかがだろうか。

2/2

Index
内部統制とエンジニアをつなぐのはログだ!
  Page1
ログで「上司の締め付け」ができる?!
「変な動き」を知るために必要な4種のログ
アピールこそが予防策、しかしすべてを明かす必要なし
Page2
エンジニアの視点で語る「ログ活用」
ログ活用とは「可視化」なり
ログ管理ツールを買わせる秘策は?

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間