【第5回】「企業の現状を『見える化』し、セキュリティ統制基盤の強化へ」（前編）

これまで、企業の内部統制に向けたIT統制は「セキュリティ統制」が要であるという話から、社内クライアントPCの集中管理（第1回、第2回）、またそれを低コストで導入、運用できるASPの利用（第3回、第4回）を紹介してきた。だが結局のところセキュリティ統制は、最終的に社員一人一人のモラルや管理意識に委ねられる部分が大きい。そこで、社員の情報セキュリティの意識向上を促すために、クライアントPCによる作業の「見える化」が効果を発揮する。本稿では、この「見える化」がなぜセキュリティ統制につながるのかを、ログ管理ツールを例に挙げながら説明していく。

社員の作業を見える化するソリューションとは

　一般的にIT全般統制には、社員たちがどのようなデータにアクセスしたか、どのような作業をしているかといったモニタリングが必要とされている。それはたとえば経済産業省の「システム管理基準 追補版」（※）にも記載されている。こうした基準への準拠を実現するのがログ管理ツールである。今回はクオリティ株式会社（以下、クオリティ）がリリースしたばかりの「QOH(Quality Operate Hawkeye)」を例にして、ログ管理ツールで何ができるのかを再確認してみよう。

　QOHは、（１）企業内のクライアントPCにおけるさまざまな操作情報をログとして取得し、（２）管理者がそのログを参照できる、「クライアント操作ログ取得ツール」である。簡単に仕組みを説明すると、PCにインストールされたQOHのクライアントソフトが、そのPCの操作履歴を保存。QOHサーバに定期的に情報をアップロードする。

　一般的に市場に出回っているログ管理ツールで取得できるログは、WEB閲覧履歴、メール送受信、ファイル操作などが代表的だが、QOHの場合は、プリンタ操作などの出力の履歴はもちろん、クリップボードやスナップショットなどセキュリティホールとなりうる場面をより広く想定された最大12種類のログを収集する。（下表参照）

　一言で「ログを集める」と言っても具体的に何を記録することなのだろうか。たとえば「WEBアクセス」のログ収集を例に挙げると、

• アクセスしたWEBサイトのタイトル
• URLとアクセスした日時
• ユーザー名
• IPアドレス　など

が取得される。

　また、ログの取得方法も細かく設定できる。特に便利なものが「グループ作成」である。これは管理者が、自由にグループを作成してユーザーを登録し、企業内のポリシーに応じてログの取得方法や範囲を変更することができるというもの。たとえば、グループAについては全種類のログを取得する、グループBは限定的なログを取得する、という具合にグループ別でログ収集の比重を持たせられるのだ。これは社員ごとの業務内容の違いや、重要な情報へのアクセス権を持つか持たないかなどの違いによってログ種類や取得サイズに差を持たせたい場合に有効だ。

　取得したログはWEBベースの管理画面でチェックでき、検索や絞り込みによって必要な箇所だけを抽出することも可能。あらかじめ条件を設定しておくと、その条件に合致したログのハイライト表示もできるなど使いやすい。ログデータはCSV形式での出力にも対応。ログの出力についてはスケジューリングが可能なため、任意のタイミングで自動化できるなど、柔軟性に富んでいる。

ログデータのハイライト表示

※クリックすると大きい画像を表示します。
気になるクライアント名やファイル名などをあらかじめ決めておけば、その検索に該当するログデータがハイライト表示される

　またQOHは、第1回で紹介したレポート作成ツールの「eX Report」との連携が可能だ。この2つを組み合わせることでレポートの作成が手軽にできるようになる。しかもこのレポートは、定期的に自動生成ウェブブラウザで閲覧できるので、レポート作成という業務（「レポートに基づく改善策の検討」など本来の業務のための準備業務）の手間を省くことができる。これはいわゆる「仕事のための仕事」を減らすことである。

　このレポートは、全社員が閲覧可能にも設定できる。「社員に問題を起こさせないためには、自分たちの現状の理解が非常に重要なのです」とクオリティは言う。つまり、レポートを公開して閲覧させることにより、自分のどういった作業が危険なのか、また問題となりそうなのかなどを社員は把握できる。そこから、作業を改善させることができるようになる、というわけだ。