ログ分析には高度なノウハウが必要
企業のITシステムに散在するログにはさまざまなものが存在する。代表的なものとしては、Windowsサーバのイベントログや、各種アプリケーションやサーバのシステムログ、メインフレームのログなどが挙げられる。そして、その分析には高度なノウハウが必要となる。障害の発生原因を確認する場合や、ユーザの利用状況の把握など、目的によってその分析方法には違いが出てくるからだ。
膨大なログの使用用途としては、監査に対応するためのレポート作成のほかに、事故や障害に対する対応、モニタリングやレポーティング、SLA(Service Level Agreement)への活用などが考えられる。ログがきちんと取れていない場合、これらの要件を満たすためには膨大な工数が必要となる。正確なログをきちんと取得していること、管理されていることがシステムレベルで重要となるわけだ。
監査証跡に有効なインベントリ収集機能
MIJSには、ログとインベントリ情報による証跡管理を実施する手法として、ビーエスピーの「Loganizer」とQuality Corporationの「QND Plus」を組み合わせるアプリケーション連携が存在する。
Loganizerは、メインフレームを含めた基幹系システムで蓄積されるログを収集し、一元管理することができるソフトウェア。ログには属性が付与され、設定された保存期限が過ぎた後は、圧縮され外部保存されるため、長期保存も可能だ。
また、ログデータ内から条件に合致するデータを検出することで早期に問題発見し、メール通知をおこなうこともできる。ログの保存、活用、レポート作成などをおこなうことで、各種ログを活用することを可能にしたツールといえる。
一方、QND Plusは、インベントリ収集機能や各種台帳の作成/管理、ソフトウェアの遠隔自動インストール、リモートコントロールといった機能を備えるツール。監査証跡をおこなうためには、このインベントリ収集機能が非常に有効となる。社内に存在するクライアントPCの情報を一元管理することができるため、それをログとマッチングすることで証跡管理やリスク管理をおこなうことが可能になるためだ。
サーバログとインベントリ情報でPCのアクセス管理
一般的に、サーバログだけでは操作しているユーザー名の特定には手間がかかり、接続を許可されていないPCからのアクセスを判別することはできない。また、サーバと個々のPCのログがあっても、発生した事象の影響を調査するのに大変な手間がかかる。そのため、サーバログのみならずインベントリ情報を収集し、それらをマッチングさせることができれば、使用したユーザーを特定した分析が可能になり、接続を許可されていないPCのアクセスを見つけることも容易になる。
「内部統制や日本版SOX法に対応する場合、サーバログの分析というセキュリティ的な使い方だけではなく、業務アプリケーションのログやデータベースのログなども加え、すべてを付き合わせることで、定められた処理がなされていることを監査上証明する必要がある」と語る橋本氏。やみくもにログを蓄積するだけでは、有効なソリューションとはいえない。
「今後は、より業務寄りで、かつ監査をおこなう立場からも利用しやすいテンプレートを提供していきたい」(同氏)