[第2回]
ログ管理の工数を大幅に削減し、効果的なログレビューを実現

IT全般統制に対応するために多くの企業でシステム運用ログの取得が実施されています。しかし、その多くは何かがあったときの備えとして取得しているだけで、業務が間違いなく遂行されていることを確認するための手段として、定期的にログのレビューを行っている企業は、まだまだ少数派のようです。とはいえ、内部統制とは、業務が適正に遂行されていることを確保するためのものであり、事後の確認だけでは意味がありません。富士通の統合運用管理ソフトウェア「Systemwalker Centric Manager」は、ログのレビューに必要なすべてのプロセス（ログの収集・管理からログの点検、報告書の作成まで）を強力にサポートし、確実で効率的な内部統制を実現します。

[キーワード] 内部統制、IT全般統制、ログレビュー、ログの一元管理、収集ログの改ざん検知

[2008年12月8日掲載]

ログレビューが簡単にはできない、これだけの理由

2008年4月に金融商品取引法（J-SOX法）が施行されました。上場企業やその連結子会社では、初年度の監査に向けて財務に関わる業務の内部統制整備／評価に取り組まれていることでしょう。

なかでもログ管理はシステムに関わるIT全般統制整備の一環として多くの企業で実施されています。しかし、収集したログを定期的にレビューし、承認を受けて業務が間違いなく行われていることを確認するまでの仕組みを確立し、実施している企業は、実はそれほど多くありません。これは、内部統制として「不正がないことを証明」するために必要なプロセスですが、実際に運用しようとするといくつかの困難があるからです。以下に課題を整理してみます。

【課題1】ログはどこまで集めればいいのか

ログを収集してもレビューできなければ意味がありません。定期的に必要なログのレビューをするためには、すべてのログをレビューの対象にしていては、時間や手間がかかりすぎます。そこで、とくに管理者が使用する特権IDでシステムを直接操作したログを最重要と位置づけて、確実にレビューをすることが大切です。

【課題2】ログを漏れなく、重複なく収集して管理するのは意外と大変

ログは収集タイミングによっては重複したデータを含んで収集されることがあります。また、ログファイルの容量がオーバーしてしまうと、新しいログを追記するために未収集のログまでも上書き削除してしまう可能性があります。このような重複や収集漏れを避けようとすると、手作業による確認や整理が必要となり、管理者の大きな負担となります。

【課題3】生のログはそのままでは分析／確認できない

収集したばかりの生ログはログの種類（OSのログ、アプリケーションのログなど）によって形式が異なるため、検索したりキーワードで抽出したりするためにはログのフォーマットを統一する必要があります。

たとえばある担当者の一連の操作を確認したい場合、OSのログ、アクセスのログなどを時間軸でたどっていきたくても、担当者のIDや時間が記述されている位置がログによって異なっていると検索して抽出することができません。

このようにログを収集してレビューで確認するまでの一連の作業は、簡単にはいかないのです。

統合運用管理:
Systemwalker Centric Manager

サーバセキュリティ対策:
SHieldWARE
データベース監査ツール:
PISO

ページの先頭へ

最優先でレビューすべきログとは

では、課題1から順に解決のポイントをご紹介していきましょう。

【課題1】ログはどこまで集めればいいのか

統制の観点ではログは取得して、作業申請などと照合してチェックできることが肝要です。したがって、単純にすべてのログを収集して膨大な量を蓄積するだけでは、ログを取得する効果が半減します。

富士通は、自社での内部統制の実施や、100社以上のコンサルティングを行ってきた経験から、まずは、管理者が使用する特権IDによる操作のログを取得しレビューすることがシステム運用の正当性を評価するうえで必要と考えています。

なかでも以下の5項目が最も重要であると考えます。

IDの追加、削除（サーバOS、データベース、アプリケーション）
ライブラリの変更（テスト環境から本番環境に移すときなど）
バッチスケジュールの変更、手操作によるバッチの実行
データベースの直接変更
システム設定の変更（パッチの適用など）

これら5項目はシステムの根幹となるサーバやアプリケーションを直接変更できる作業であるため、とくに、事前に申請された作業申請と作業内容をログで確認することで、申請通り作業が実施されたかどうかを確認する必要があります。

また、申請と異なる作業や申請にない作業が行われている場合でも、ログを追跡することで、いつ、誰が、どのような操作を行ったかを確認することができます。

ここでは優先的に実施する項目として、システム運用において重要でかつ統制効果がある項目として上記5項目をあげています。（業務内容などによってはさらに追加が必要になる場合もあるでしょう）

ログの取得の範囲を明確にしたうえで、収集～分析～確認といったログレビューの一連の作業を実施していきます。

しかし、課題2、3で指摘した通り、ログの収集や分析などには大きな負担がかかります。統制対応が今年度にとどまらず毎年継続して実施することを考えると、管理ツールの導入は効率的なログレビューの実現に効果を発揮します。

ページの先頭へ

Systemwalker Centric Managerで効果的なログレビューを実現

Systemwalker Centric Managerは、ログの収集から点検、報告書作成までの一連の作業をサポートするための機能を備えています。

それでは、課題2、3に対応するSystemwalker Centric Managerの機能をご紹介していきます。

【図1 : ログの収集から点検、報告書の作成までをサポートする「Systemwalker Centric Manager」】

1. ログの収集

【課題2】ログを漏れなく、重複なく収集して管理するのは意外と大変

Systemwalker Centric Managerは、必要なログを安全かつ効率的に収集して一元管理することが可能です。定期的に自動収集することで上書きによるログの消失を回避し、前日との差分で収集することでログの重複を防止します。さらに、暗号化したり改ざん検知を実施することで安全に収集し、ログの真正性を証明することができます。

また、他のアクセス管理製品やID管理製品が取得したログも収集して、独自に収集したログとともに管理サーバで一元管理することが可能です。

たとえば、アクセス制御製品「SHieldWARE（シールドウェア）」と連携すれば、特権ID（root）で操作をしても、元のログインユーザの記録が残るので、誰が操作したかを確認することが可能です。また、データベース監査ツール「PISO」と連携すれば、DBに対して発行したSQL文の内容まで確認できます。

【図2 : すべてのログを安全かつ効率的に収集して一元管理】

ページの先頭へ

2. ログの点検

【課題3】生のログはそのままでは分析／確認できない

収集したフォーマットの異なるログは検索／抽出するために、ログの形式を統一する必要がありますが、Systemwalker Centric Managerでは自動的にログの形式を変換（正規化）することができます。OSなど一般的なログはもちろん、独自アプリケーションであっても変換用のテンプレートを修正するだけで簡単に形式を統一することができます。

また、申請外の操作だけを抽出して操作内容を時系列で確認することも可能なため、レビューにかかる手間を大幅に軽減することが可能です。