Pマーク対策：ログを取るなら個人特定できるまで

ログの持つ意味は大きくなっている

プライバシーマークやISMS（情報セキュリティマネジメントシステム）を構築するために、情報システムのログ監視を導入する企業が増えてきました。

プライバシーマーク取得企業からの情報漏洩が個人情報の漏えいは、企業に多大な損失をもたらすため、情報漏洩を起こさないためのログ管理体制を構築するとともに、万が一、漏えい事故・事件が起きた場合の迅速な対応に役立てるためにも、適切なログ監視体制を確立しておく必要があります。

また、上場企業では、日本版SOX法の法的要求事項を順守するために、業務を実施した証拠や、改ざんなどの不正な操作が行われなかった証拠として、システムのログ管理も法が求める対策の1つとなっています。

ITの運用管理の観点では、ログはシステム管理者が本当に不正なことがなく作業を行ったということを証明するための証拠として取り上げられています。

そのため、ログにてその証拠を担保するという目的からも、ログ管理の重要性が認識されています。

ログ管理において、従業員の操作が正しく行われたということは、管理職などの権限のあるユーザーが承認した履歴があることで実証できます。
しかし、上位の管理者の業務の実施状況については、本当にその管理者がその行為を実施したのかという証拠を示すことができません。

ログを取るならば個人を特定できるまで徹底する

ログを取得するための前提条件としては、1人1人を識別するユーザーIDを付与し、その本人が使用しているということを確実にするシステムが導入されていることが必要です。

1人1人を識別するユーザーIDを付与していないと、ログを取得したとしても、有効に機能しない場合があるからです。

例えば、部署で1つの共有IDを使用している場合、そのIDを使用している部署は絞り込めますが、その部署の誰が操作したのか、ログを分析しても判明することは難しいのです。
推理小説のような架空の話ではなく、現実に、このようなことは起きているのです。

そのためにも、従業員1人1人を識別できるユーザーID、パスワード、指紋などにより認証されることで、本人であることの確証を高める対策をしておくことが、各担当者だけでなく、管理職や管理者権限のIDを使用する従業員を保護および監視するために必要となります。

ログ管理体制を確立しておくと、たとえば、以下のような事例が発生した場合に迅速に対応することができます。

システム管理者Aさんが週に一度のログ監視の分析作業を実施した際に、ある日の深夜に同じサーバが何度もリブートされていることに気付き、このサーバを管理しているシステム管理者Bさんに、この日にリブートしたかを確認。しかし、Bさんは覚えがないということで、権限外の何者かによって故意にリブートされた可能性が考えられました。

Aさんが詳細にログ監視の分析作業を進めたところ、BさんのユーザーIDによって、リブートの前に、必ず他の操作履歴が残っていました。
システムファイルの更新や、ソフトウェアのインストール、ファイルを転送履歴です。

該当のサーバ内のログ管理データを確認したところ、
分析したログの内容は削除されていました。
幸い、ログ保存は、サーバ内だけでなく、ログ管理サーバに転送していたことから、そのサーバにおける真の操作履歴をログで確認することができました。
この結果から、不正操作の可能性が、推測から確信に変わり、インシデントが発生していたことを発見できました。

このように、一人一人のユーザーを識別できる仕組みと合わせて、データが改ざんされて追跡ができなくなることのないシステムを構築することはもちろんのこと、導入したことで安心せずに、定期的にログ監視を行い、その結果をレビューするという、PDCAモデルを用いた継続的改善を組み込んだ体制を確立しておくことが必要です。