07-S-07

目次

情報漏洩防止のためにログ監視の重要性を見直そう

「個人情報漏洩事件を起こすと、企業業績に多大な影響を及ぼす」とはわかっていても具体的に有効な対策がとれていない場合もあるのではないでしょうか。

過去の情報漏洩事件を引き起こした企業による原因の調査結果を見ると、「共有パスワードを利用していた」「個人情報を扱う端末や、サーバー室の入退出管理ができていなかった」「データ抽出ツールなどで容易に情報を一括ダウンロードできた」など、管理体制に問題があったケースが見受けられます。

個人情報漏洩を起こしてしまった企業の中には、今後の対策として「ログの取得や管理の強化」を挙げるところが多くあります。

しかし、情報漏洩対策としてログ監視をしていても、上記のような利用環境を放置していては無意味になってしまうので、セキュリティ・ポリシーの徹底や適切なアクセス制御が対策の大原則になります。

内部犯行への対策

ただ、これらの対策を実施していても、対策が難しいのが「正規のアクセス権限を持った人間による内部犯行」です。

情報漏洩事件の多くが内部犯行であることを考えると、セキュリティ・ポリシーやアクセス制御といった従来の対策だけでは不十分であることがわかります。

顧客情報の参照履歴はもちろん、サーバーやクライアントPCの操作ログ、インターネットへのアクセス履歴などのログ監視をして、情報漏洩につながりかねない問題を早期に検知するための体制が不可欠になってきています。

ログ監視の効果

・内部犯行への抑止力
・不正の早期発見
・潔白の証明

ログ監視の効果として、まず挙げられるのは事件の原因究明ですが、ログ監視のメリットはこれだけではありません。

誰が、いつ、どの情報にアクセスしたかをログ監視しておけば、「XX月XX日XX時にこの情報にアクセスしていたようだが、何かあったのか」とユーザーに確かめることができます。
「自分の行動が常に記録され、監視されている」ということをユーザーに知らしめることで、不正に対する抑止力となり得ます。

また、不正ができない環境をつくることは、従業員に不必要な出来心を持たせないためにも必要なことです。
内部犯行の場合、軽度な不正行為が次第にエスカレートしていくケースが多いため、不正を早期発見し、早い段階で芽を摘むことが重要です。

また、ログを確実に保存しておけば、問題が起きた時に、自社できちんと管理していたという証明にもなります。

例えば個人情報が保存されていたサーバーに不正侵入やウイルス感染があった場合、情報漏洩がなかったかどうかが問題の焦点となります。
このような事件が起きた時に“情報は漏洩していない”と言える証拠があれば、自社を守ることにもつながります。

もちろん、不正侵入で管理者権限を奪われてしまい、ログ自体を改ざん・削除されてしまってはログ監視の意味がありませんので、ログ自体のセキュリティ対策も併せて考えておく必要があります。

自社のログ監視戦略を策定しよう

ログ監視は、単にデータを取っておけばいいというものではありません。
どのようなデータを取得するかだけでなく、重要性に応じてログごとの監視頻度や保存期間も決めておくようにしたいものです。

ログ監視体制を考えるうえでは、以下の点を考慮しましょう。
・どのような情報を取得し、いつまで保存するか
・ログのセキュリティ対策(改ざん・削除されないための対策)
・サーバーやクライアントの時刻合わせ(ログごとの時刻がずれていると突き合わせが大変)
・パフォーマンスへの影響(特にDBサーバーはログの取得で負荷がかかる)など。

ログ監視ツールの利用

最近では、ログを取得・監視するためのツールも増えてきました。
サーバー側、ネットワーク上、クライアント側のそれぞれで、さまざまなログを取得することが可能になっています。

例えば、サーバー側では、OSにアドインしてファイルやプロセスに対するアクセス制御を強化する製品があります。
担当ごとに必要最小限の権限しか与えないように、細かなアクセス制御を設定した上で、ユーザーの操作を監査ログとして残し、ログ監視することが可能です。

“フォレンジック”と呼ばれる、ネットワークに流れるパケットを丸ごと保存し、特定の通信を再現できる機能を備えた製品も増えています。
ユーザーが「Webブラウザでどのような画面を表示していたか」「メールでどのような内容をやり取りしていたか」などを、実際のユーザーの操作に近い形で確認できます。

このほか、クライアントPCのアプリケーションやファイルの操作履歴、Webサイトのアクセス履歴、メールの送受信履歴などをログ監視の対象として記録できる製品もあります。
こうしたツールの活用しながら、ログ監視戦略を策定し、情報漏洩対策を講じましょう。

関連記事