ログ管理の「目的」とログの「種類」を整理しよう！

ログ管理の目的

ログ管理の目的には「障害、不正の事後調査」と「規制上の記録義務」の2つがあります。

障害、不正の事後調査

障害や情報漏えいなど、トラブルが発生した後の追跡を目的としたログ管理です。「障害対策」と「不正防止」の2つに分けて解説します。

●障害対策

障害を切り分け、原因を探るためにログを確認します。障害直前の状況がログとして残されていますので、正確ですばやい対処と復旧が可能となります。

障害対策は事後調査ばかりではありません。障害が発生する前には予兆があります。たとえば、Webシステムへのアクセス急増や、ネットワークのトラフィック増大などです。これをとらえることで、事前に対策を打って、障害を未然に防ぐことができるようになります。 障害対策は主にシステムの運用担当者が利用します。

●不正防止

2000年代初頭の個人情報漏えい事件を受けて、多くの企業がセキュリティ対策としてログ管理を重視するようになりました。ログを残しておくことで、情報漏えい事件が発生した場合、誰が、いつ、どこからアクセスしたか（盗み取ったか）を把握できます。

ログ監視の効果は事後の調査だけではありません。ログで監視していることを社内に公表することで、内部犯行を抑止できます。社員を犯罪者にしたくないという経営者の意向から、ログ監視機能を導入する企業が増えています。 不正防止は主にセキュリティ担当者が利用します。

規制上の記録義務

政府からの規制を受けて、ログ監視をするケースです。頻発する粉飾決算の対策として、2009年3月期決算から「内部統制報告書」の公開が義務づけられました。その内部統制の一環にIT統制があり、ログデータが監査の対象となっています。ログ監査が義務づけられているのです。 この特長は2つあります。「素人でもわかること」「システムを横断したログ管理」が必要なことです。

・素人でもわかること

「障害、不正の事後調査」では、その筋の専門家がログを分析していました。しかし、内部（外部）統制の担当者は素人です。コマンドの羅列では意味がわかりません。これを素人でもわかるように翻訳する仕組みが必要となりました。

・システムを横断したログ管理

内部統制から求められるログは、たとえば…

• 「深夜あるいは休日に○○システムにアクセスした社員」
• 「○○データベースにアクセス権がないのにアクセスしようとした社員」
• 「許されていない端末からアクセスした社員」
• 「パスワードを何度も更改している社員」
• 「USBなどでデータをもちだそうとした社員」

などです。

これは監査担当者によってしばしば変わってきます。この要求に柔軟に対応するため、「統合ログ管理システム」の導入が増加しています。複数システムのログを、フォーマットを整えて蓄積し、その集計や分析、グラフ化を容易にするツールです。

ログの種類

主なログには以下の種類があります。その概要と確認のポイントを紹介します。

■操作ログ

ユーザの操作ログを残す、最も一般的なログの1つです。
情報漏えいが起きた際の調査に役立ちます。

■認証ログ

いつ、誰がPCからシステムにログインしたかを残すログです。
ポイントとなるのはエラー回数です。
エラー回数のしきい値を設定して、越えた社員を要注意とします。

■イベントログ

異常イベント、ログオン/ログオフ、ファイルアクセスなどのセキュリティ情報が登録されます。
わかりづらいログの1つで、専用の翻訳ソフトが用意されていることがあります。

■通信ログ

通信中にサーバとやり取りした内容を記録するために使用されるログです。
通信エラーの内容を取得することで、サービスの改善に役立ちます。

■印刷ログ

印刷したドキュメントのプリンター名、タイトル、印刷枚数、印刷対象のファイルを記録します。
情報漏えいの際の事後調査に役立ちます。

■設定変更

権限を持つ担当者が設定を変更した際に残されるログです。
内部犯行が発生した際の資料となります。

まとめ～ ログ管理ソフトの推奨 ～

ログ管理機能はそれぞれのハードウェアやソフトウェアにも搭載されています。しかし、障害や不正の事後調査、規制上の記録義務への対応など、単体付属機能では限界があります。専用のソフトウェアやアプライアンス、さらにはアウトソーシングもあります。検討をお勧めします。

【併せて読みたい】ログ管理のオススメ記事

• ★パソコン操作ログを記録していますか？
• ★システム運用に不可欠な「ログ管理」

「ログ管理」の記事一覧