お問い合わせはこちら

監査ログとは?理解すればこんなに安心!

公開
更新

組織の情報システム担当者は、その稼働中に問題があれば、収集した情報をもとに分析し対処しています。その際に確認する情報が、ログ(記録)といわれるファイルです。ログには多くの種類があります。「監査ログ」の目的や仕組みは何でしょうか。セキュリティ対策を効率的に進める手段としても活用できます。

監査ログとは?

ログ(記録)とは?

パソコンやサーバーなどを操作すると、操作した内容が記録として残ります。例えば「誰か」が「どこか」のWebサイトを閲覧して、「何か」の行動を「いつ」したかという記録です。多くのシステムやソフトウェアは、自動的にそれぞれの方式でこのような記録データを残しています。残さない設定もあります。この記録データを分析すれば、良いことも悪いこともシステムの管理者にはわかり、必要な対策をとることが多くの場合可能です。

ログと監査ログとの違い

数多くあるログの一つに監査ログがあります。「監査」とは、対象の作業があらかじめ決められた方法通りに実施されているか確認することです。一方「監査ログ」とは、文字通り「監査」を目的としたログです。その目的とは、すでにあるルール通りに正しくサーバーなどを操作したり、場合によっては他の機器と正しく連動しているかを点検することです。ルールには組織の外には法律など、組織の内には社内規程など複数あります。

監査と聞くと、システム管理者自身が何か悪いことをしていないか常時「監視」されているような、怖い印象があるかもしれません。実際には決してそうではなく、むしろシステムを正しく運用しているか、そうではない場合にどこに不備があるのかを正確に、そして客観的に伝える優れた手段と考えるべきでしょう。

監査ログの目的

それでなくとも複雑なサーバーなどの運用手順に、なぜこのような一見面倒と思えることをやらなければならないのでしょうか。以下がその理由であり、その実現がまさに監査ログの目的と考えます。むやみに点検することだけが目的ではありません。

  • 問題発生時に原因を究明し、解消する主要な手段であり近道
  • 権限のない重要情報へのアクセスなど、不正行為の抑止力になりうる(組織内部の関係者が原因となりうる場合を想定)
  • 以上により、サーバーなどの管理に費やす時間を短縮できる可能性がある

監査ログの仕組み

システムが大きくなればなるほど、監査ログを管理する専用サーバーが必要になります。例えば、一つのシステムで複数のサーバーが役割分担をして同時に動いている場合、システム全体としての監査ログが作成されていなければなりません。いくら個々のサーバーのログだけを丹念に調べても、それぞれの動作のつながりがわからないと意味がなく、原因究明できないからです。

監査ログ専用サーバーが集中管理するイメージは、以下の図のように示すことができます。あくまで基本的なイメージで、システムにより大きく異なります。ここで大事なことは複数のログデータを一つの場所に集めることで、動作の流れを追えるようになり分析しやすくなっていることです。

管理目的(各種ログ共通)

以下のような事情があるため、目的や優先度に応じた効率的な作業を行う必要があります。

  • 多くの種類のログがある
  • ログを生成する多くの機器がある
  • 機器に操作をする人が多くいる
  • 多くのルール(組織の外と内)を守る必要がある

管理方法(各種ログ共通)

一般的には、無数にあるログデータの取得から保存、分析などの作業を行います。その際に重要なことは別々に作業をするのではなく、可能な限り一連の作業として自動化することです。多くの場合ログデータは機器自体に蓄積されているため、分析する場合は個々の機器にアクセスして内容を確認しなければなりません。ただ個々に確認していると効率が悪いため、前項でのイメージ図のように集中して管理をするサーバーを設置し、自動化する方法が一般的です。

監査ログの保管方法

ログのデータは次々に生成され、どんどん増えていきます。データの保存場所や分析するサーバー機器の処理能力は有限なため、通常では保管する期間のルールを設けています。これが「ログローテート」と呼ばれる保管方法の考え方です。

なお保管期間を過ぎたデータは消去するとはいっても、勝手に適当にやってさえいればよいわけではありません。法令や組織の規則など複数のルールにそって実施し、管理が円滑に進むように留意しなければなりません。業種、監査の対象範囲や提供しているサービス、業務において扱うデータの特性などによって、妥当なログ保存期間は異なる場合があります。行政機関が推奨する内容や、自社の環境をしっかりと検討したうえで適切な保管期間を設定しましょう。

【参考サイト】
企業における情報システムのログ管理に関する実態調査
https://www.ipa.go.jp/files/000052999.pdf

監査ログがあるとサーバー担当者が安心できる理由

単に情報システムの管理だけでなく、その仕組みを使っている組織の運営にとり安心できることがあります。この章では、情報セキュリティ対策に関連する3つの項目に絞り整理しています。

たとえどのようなシステムでも、事件や事故を完璧に防止できないため、発生時の対処方法をあらかじめ決めておきます。その際に拠り所となるデータとして、監査ログの整備が必須になります。監査ログ管理は一見手間ひまを増やすだけのようですが、実際には組織の安全な運営に大きく貢献する所以です。

【理由1】 関連するルールを守るために必要な情報が得られる

組織の外の法律と組織の内の社内規則など多くのルールを順守することで、より円滑にシステムを運営し、各種のサービスを利用者に安心して提供することができます。万一何か異常がある場合、客観的なデータをもとに分析し対処することで、再発防止対策となります。その結果として、提供しているサービスの信頼はさらに向上していきます。

 【理由2】 企業における内部統制の構築

組織が情報セキュリティ対策を進める際に、内部統制の仕組みが必要になってきました。「内部」の「統制」といっても、従業員を監視して経営者がやりたいようにするのではなく、組織として健全な事業活動を維持していくためのルールです。そのために、監査ログによる中立で公平なデータが役立っています。組織で周知していけば、結果として悪意のある従業員の行動を抑制することにつながります。

 【理由3】 情報漏洩などが発生した事実を正確に把握し必要な対処ができる

いま発生していることを要領良く日頃から点検していない限り、万一情報セキュリティに関する事故が発生したとしても、気づくことすらできません。例えばマルウェアなどに感染し、組織外に機密情報を漏洩してしまう場合などが想定されます。マルウェアについて詳細は、以下の記事をご覧ください。

【実用コラム】マルウェア対策のキホン!サーバーへの感染・拡大を防ぐために

【実用コラム】マルウェア対策のキホン!サーバーへの感染・拡大を防ぐために

マルウェアに感染して個人情報が流出した…などニュースでは聞いたことがあっても、どんな危険性があり、どう対策すればいいか分からない方も多いと思います。 企業で言えば、業務で使っている従業員各々のPCが狙われやすく、ここからネットワークを通じて基幹システムのサーバーや他PCに感染し、拡大していく危険性があります。 こちらの記事では、あらためてマルウェアについて概要と対策をまとめています。とくに対策では…

監査ログの日常的な活用により、次のような効能があると考えています。

  1. 事故の予防になる
  2. 事故発生後に原因を特定し、被害範囲を予測することで対応を早めることができる
  3. 事故が組織外の広範囲に影響する場合には、いち早く状況を公開し、利害関係者に説明責任を果たす機会が得られる
  4. 事後の検証時の再発防止策作成に貴重なデータになる

 (まとめ)信頼できる業者の監査ログを利用しましょう!

ここまでの内容で、監査ログの重要性と安心できる理由についておおよそ理解できたと思います。そもそも監査ログを安心して活用するためには、サーバー機器などが安定していないとデータの信頼性が低くなります。そのため提供するサービスの選択には慎重であるべきと考えます。

ログの管理や出力に対応しているサービスの一例として、カゴヤの専用サーバーではエラーログやコンテンツの更新に使われるFTPログをコントロールパネルから簡単に保存できます。また、無料のアクセスログ解析オプションを使ってアクセスログを保存することも可能です。これらに加えて、カゴヤのマネージド専用サーバーでは限定のオプションとして、「WAF」が利用可能です。「WAF」を利用することで、攻撃の有無、防御の状況などのログを残すことも可能です。上記のようにあらかじめ用意されたオプションを利用して、簡単に「監査ログの保存」を始めることもできますので、検討されてみてはいかがでしょうか。