ログ管理のための「7つのアドバイス」
ID管理が適切に実施されていると仮定すれば、ログ管理のあるべき姿とはどのようなものになるだろうか。山本氏は「必要なログがきちんと取られていること。また必要になった時に速やかに取れるようになっていることだ。」と話す。管理の対象外であったデータでも、ある時から、ログの対象に含めなければならない場合がある。事業上の要請が変化するのに合わせて柔軟に対処できる必要があるのだ。
なぜそのログが必要なのか ? 目的を明確にすべし
まず、何のためにログ管理が必要なのかを明確にすべきである。目的が明確でなければ、欲しい結果は得られない。また、往々にしてやり過ぎてしまう傾向にある。山本氏は「IT担当者は、ログ管理を実施するに当たって、法務担当者やビジネスの担当者と、よく話をする必要がある。ログ管理がなぜ必要なのか、どんな問題があるのか、という点を正確に知る必要がある。」と述べ、一度ログ管理を開始した後も定期的にログ管理の目的を確認すべきだとアドバイスする。
職務分掌を明文化し、それに合わせてシステム上の権限を設定すべし
職務分掌を明確にし、文書化することは重要だ。またそれに加えて、職務分掌上、すべきではない行為は、システムで制御され物理的に操作できないように設定されていることが望ましい。山本氏は「ルール上は禁止されていても、やろうと思えばできてしまう状況は可能な限り避けたい。誤って操作してしまう可能性がある他、中には悪意を持って故意に権限を逸脱した行為に走る人がいるかもしれない。」と話す。予防的コントロールを埋め込むことが難しい場合は、発見的コントロールで補完するしかない。
