Logstorage インフォサイエンス株式会社
統合ログ管理システム Top Welcome to Logstorage Manual Download Support Seminar Site Map
インフォサイエンス株式会社
Welcome to Logstorage
  • ログ管理の背景

ログ管理の背景 -Welcome to Logstorage-

SOX法(日本版SOX法)を見据えたログ管理による内部統制の評価と監査

2005年7月に金融庁より公開草案が公表された「財務報告に係る内部統制の評価及び監査の基準」は通称、日本版SOX法と呼ばれる法案に向けてのとりまとめの1つです。

経営者は、自社で行われているすべての業務及び社員の行動を把握することが困難です。それに代わり、企業内に有効な内部統制のシステムを適切に運用することで財務報告の適正性及び信頼性を確保することができます。

金融庁の報告書では、内部統制の評価及び監査が以下の6つの基本的要素から構成されています。

1.統制環境
2.リスクの評価と対応
3.統制活動
4.情報と伝達
5.モニタリング(監視活動)
6.IT(情報技術)の利用

「5.モニタリング」は、内部統制が有効に機能していることを継続的に評価するプロセスを表しており、業務に組み込まれて行われる日常的モニタリングなどが挙げられます。監査人は日常的モニタリングなどにより業務プロセスに係る内部統制を評価するための判断材料(監査証拠)を収集しなければなりません。これらの収集にはシステムが出力するログ(記録)などを管理し、活用することで効率的に行うことができます。

<財務報告に係る内部統制の評価及び 監査の基準のあり方について の
  3.内部統制監査の実施 -(4)業務プロセスに係る内部統制の評価の検討 より抜粋>

監査人は、経営者が評価した個々の統制上の要点について、内部統制の基本的 要素が適切に機能しているかを 判断するため、実在性、網羅性、権限と責任の明確性、記録の十分性等の監査要点に適合した監査証拠を入手しなければならない。

「6.ITの利用」に係る業務プロセスのIT化に伴い、運用する情報システム(アプリケーションやサーバ)が適切に動作していることを確保する必要があります。このシステムが不適切に動作するようなことがあったり、システムを直接操作しているユーザが意図的に(または不注意で)適切な操作をしないことで、内部統制の目的を達成できない事態が発生する可能性があります。ITの利用を踏まえた内部統制には、システムの運用状況のログ(記録)を適切に管理し保存することも求められています。

<財務報告に係る内部統制の評価及び 監査の基準のあり方について の
  1.内部統制の定義 より抜粋>

内部統制は、社内規程等に示されることにより具体化されて、組織内のすべての者がそれぞれの立場で理解し遂行することになる。また、内部統制の整備及び運用状況は、適切に記録及び保存される必要がある。

2005年12月 「企業会計審議会内部統制部会」の
財務報告に係る内部統制の評価及び監査の基準のあり方について
http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.html

個人情報保護法施行に伴う情報セキュリティ強化と責任

2005年4月より施行の個人情報保護法や情報漏洩対策、ISMSやプライバシーマーク制度取得など、情報セキュリティ分野への関心は高くなりつつあります。 このような関心には、コンピュータウィルスや情報漏洩などの被害により企業が多額の被害額を受けることが認知されていることがあります。
特に個人情報保護法については、個人情報をデータベースに5001件以上有し、6ヶ月以上企業活動で利用する企業が対象となります。対象となる企業はこの法律に則したシステムの運用を行う責任があります。

個人情報保護法では、個人情報が適切に扱われていることも条文に含まれています。この「適切である」という表現をいかに証明できるかという面においては、システムが正常に稼動していることだけでなく、オペレータが適切にシステムを操作していることも含まれます。このような証明には、一般的に「記録(ログを残す)」ということが行われます。システムのログやシステム操作のログを残すことで、「適切である」または「適切でない」ことを証明することができます。

e-文書法施行に伴うログの適切な管理

2005年4月より施行の民間事業者等が書面の保存等における情報通信の技術の利用に関する法律、通称
e-文書法では電磁的保存の具体的方法にかかる努力基準の一覧(7項目)の中で、第一番目にログの
管理についての項目があります。ログストレージは、様々な「ログデータ」を保存し、統合的に管理すること
ができます。また、運用管理規定に合わせて適切な「ログデータ」の管理を行うことができます。

<平成17年5月6日(金) 文書の電磁的保存等に関する検討委員会」の報告書(概要) より抜粋>
情報システムには、データの保存及び更新時に保存及び更新の日時並びに実施者を記録する
   「ログデータ」の保存機能を設けること。

 取得した「ログデータ」は安全な場所に保管し、保存方法等に係る運用管理規定を定めること。

「文書の電磁的保存等に関する検討委員会」の報告書の発表について
http://www.meti.go.jp/press/20050506001/20050506001.html

高度なスキルのオペレータ不足

ログを管理するオペレータの業務は、利用状況の分析、不正アクセスの調査や障害分析まで様々な経験と技術を要します。 一人のオペレータが的確にログを管理することが出来るサーバの台数は10台程度が限界と言われています。 システム規模の拡大に伴い必要となるオペレータの人数も増え続けます。
サービスや利用者が増え、サーバやネットワーク機器が増え続ける中、的確なログ管理を行うためにはオペレータの人数が不足しています。

日々増大し増え続け、高まるログの重要性

現在多くの企業やISPは、サーバやネットワーク機器が出力するログ(利用履歴や各種メッセージ)の管理を独自に行っていますが、サービスや利用状況の拡大、さらに機器の増設に伴い、出力されるログが日々増大し続けています。
規模の大きいシステムほど、出力されるログの量や種類が多いためログの管理が極めて煩雑となり、管理者の手が回らない状況になっています。 多くのケースでは個々のサーバでログを圧縮保存し、一定期間経過したログは削除する程度で、採取したログを活用できずに事実上捨てられています。
ログの必要性は、サービスの利用状況や障害を分析したり、不正アクセスを検知したり、それらの痕跡を保存するため極めて重要な情報となっております。 近年はネットワーク上の犯罪捜査のためにログを提出する義務も生じています。

Copyright (C) 1995-2006 Infoscience Corporation. All rights reserved.
開発元:インフォサイエンス株式会社