上場企業の内部統制を強化するために定められた、いわゆる日本版SOX法では、内部統制の基本要素の6番目に「ITの活用(IT統制)」が盛り込まれている。昨今の事例を見ても明らかなように、情報漏えいが発生すると企業は大きなダメージを被ることになる。そのため、情報漏えい対策は企業にとって欠かかすことができない重要な課題と言えるだろう。そして、内部統制を実現すると同時に、情報漏えいを防ぐ手段として有効なものに「操作ログの管理」がある。

そこで今回は、企業の情報漏えい対策において近年特に重要度が増している「操作ログの取得と管理」について解説する。

なぜ操作ログが必要なのか

操作ログとは、クライアントPCの操作や挙動などの情報を記録したログのことである。これがどのように内部統制と情報漏えい防止に役立つのかといえば、理由として大きく以下の3つが挙げられる。

■1.不正行為の抑止力

現在、多くの企業が情報の取り扱いに対するポリシー(規則)を定めている。基本的にそれを守っていれば情報漏えいが発生することはないが、「多忙により自宅で作業する必要があるため、会社のファイルを持ち出してしまう」といったケースのように、一見、もっともらしい理由でデータを持ち出してしまう事案は起き得る。こうした際にも、黙っていればわからない、流出させなければ問題がないなどと考えがちだが、情報漏えいの多くは、このような勝手なデータ持ち出しがきっかけになることがほとんどだ。

だが、もし操作ログが取得されていることを把握していれば、ファイルの持ち出しを自制することができる。このような「ユーザーの心に訴える抑止力」は、セキュリティ対策としては有効な手段なのだ。

例えば、ファイルの操作ログを取得していれば、機密情報のような、社内規則で持ち出しが禁じられているデータ等のコピーや、不審な操作を防ぐことが可能だ(画面はQND ClientLogのファイル操作ログ)

■2.操作の見える化により情報漏えいを発見

また、操作ログを取得し不正行為があった場合にユーザーや管理者に通知するような仕組みを取り入れていれば、情報漏えいを最小限に防ぐことができる。万が一、情報漏えいが発生した場合でも、発見が早ければ被害が拡がる前に食い止めることもできるだろう。

ログを取得すると同時に、不正な操作を行ったユーザと管理者双方にアラートを通知(図はQND ClientLogのアラート通知のイメージ)

■3.情報漏えいが発生した場合の原因究明

情報漏えい事件が発生した場合、企業は当然その原因追及が求められる。しかし、操作ログを取得していなければ、いつ、なにが、どのようにして流出してしまったかさえも調べることができず、再発防止策が立てられないことになる。当然、信用回復などは望むべくもなく、企業の存続そのものが危うくなる。

複数の操作ログを時系列で表示して、原因の特定を実行(画面はQND ClientLogのトレース機能)

日本版SOX法の「6つの基本要素」の6番目にある「ITヘの対応」では、情報システムの構築において、データ情報の更新を正確に記録することを求められている。今後、操作ログの取得と管理は、企業にとって重要かどうかに関係なく、実施しなくてはならない義務として捉えられるようになるだろう。

セキュリティインシデントが発生した際の重要な情報源

操作ログは、内部からの情報漏えい対策の他に、外部からのサイバー攻撃に対しても重要な役割を担っている。それは、インシデントが発生した際の状況把握と問題箇所の特定だ。 例えば、マルウェアなどに感染してしまい、外部からの侵入を許してしまった場合でも、前後の操作ログを比較分析すれば、どのような攻撃を受け、どのような被害が生じているのかを解明できる。もしこの点が明らかにならなければ、具体的な対策を検討することもできない。ただ、一般的なウイルス対策ソフトで取得されている検知ログでは、いつ、どのマルウェアに感染したかは分かるが、インシデントによって具体的に何が起こって、どのような被害が生じているかまでは分からない。 巧妙化するサイバー攻撃を完全に防ぐ手段は、現状では存在しない。そのため近年では、侵入されないための対策以上に、"侵入される前提の対策"を重視する傾向が強まっている。万が一、インシデントが発生した際に、素早く状況を把握して被害を最小限に抑える対策も重要だ。そのためには操作ログの取得と管理が必要不可欠なのだ。

ログの種類

では次に、具体的に操作ログにはどのようなものがあるのか説明しよう。なお、ここで取り上げている例は、クオリティソフト株式会社が提供している操作ログ取得ツール「QND ClientLog」の機能を参考にしている。

QND ClientLogで取得できる操作ログ一覧

これまで述べてきたように、操作ログの取得と管理は、内部統制の実現やセキュリティ対策に欠くことができない重要な要素となっている。しかし、取得したログを有効活用するためには、定期的に管理し、問題がない状況、ある状況それぞれについて常に確認する必要がある。

もちろん、すべての業種や部署において前述のようなログが必要だという訳ではない。例えば、営業であればメールの送受信とWebへのアクセスログを、機密情報を扱う設計部門であれば、ファイルの操作ログや印刷ログを管理するなど、その部署の特性に合わせて、取得するログを組み合わせて運用することも重要である。ログを管理することで、万が一不正行為が行われたとしても、発見から対処まで迅速な対応を行うことができるだろう。

社内外の端末を一元管理できる
「フルスペック・クライアント管理製品QND」

社内外に存在するPCからスマートデバイスまで、企業の保有するクライアント端末を一元管理するツールです。資産管理機能に加え、外部メディア制御やクライアント操作ログ、不正PC検知、URL Filteringで実現する標的型攻撃の出口対策など、多様なセキュリティ統制も備えています。
さらには、正確なソフトウェアライセンス管理によるコンプライアンス遵守など、安全なクライアント管理に必要とされる機能を標準搭載しています。

⇒詳しくはこちらから

⇒IT資産管理の導入事例はこちら

[PR]