はじめに皆さんはログ管理と聞いて何を思い浮かべるでしょうか。もしあなたがエンジニアの方でしたら、すぐにイメージがつくかもしれません。 実は、クラウドネイティブとなった現代において、IT内部統制とログ管理は重要な関連性を持つようになっています。この記事では、ログ管理がなぜ重要なのか、どのようにIT内部統制に影響を与えるのかなどを解説します。ログ管理とは一般的に、ログ管理とは、PCやサーバ、ネットワーク機器から出力されるログを収集し、監視分析を行うことを指します。ログにはさまざまな種類が存在します。操作ログ、アクセスログ、メトリクスなどが代表的です。操作ログ:ユーザーがPCなどの端末上で実行した操作を記録したログ。例:ログイン、ログアウト、データ変更履歴などアクセスログ:ソフトウェアやネットワーク機器への接続履歴(いつどこで誰がアクセスしたか)を記録したログ。例:IPアドレス、ドメイン名、アクセス日時などメトリクス:システムの状態を定量的に計測し、加工したログ。例:CPU使用率、メモリ使用率、アクセス数クラウドネイティブ化によって高まったログ管理の重要性従来から、ログ管理は社内のIT機器の状態や利用状況を把握するために重要な役割を果たしてきました。しかし、クラウドネイティブ化の進む現代においては、セキュリティやコンプライアンスの観点から、その重要性がさらに高まりつつあります。例えば、セキュリティインシデントの発生時には、その対処、封じ込め、原因の特定・対策のためには、何が発生していたかを正確に理解しなくてはなりません。この時、ログ管理が不十分な場合、企業としての正確な事実の把握が非常に困難になってしまいます。また、内部不正の抑止においてもログ管理は重要な役割を担うようになっています。クラウドネイティブ化された企業においては、経費精算、請求処理、給与計算、在庫管理といった会計・財務に関する処理そのものが全てクラウド上のサービスやソフトウェアで動いていることも珍しくなくなってきました。このような環境下において、企業が正しく法令遵守し、財務処理がなされているかを確認するための重要な証拠として、ログの重要性が大きくフォーカスされるようになってきたのです。内部統制とログ管理企業の適切なガバナンスとコンプライアンスのためには、内部統制が必要不可欠であることが知られています。事業の形に関わらず、内部統制は、①財務報告の信頼性、②法令順守、③資産の保全、④事業の有効性および効率性という4つの目的を保証するための仕組みとして整備されることが一般的です。取締役会や監査役会、社内管理体制などが含まれます。この中で、金融庁が示す「財務報告に係る内部統制の評価及び監査の基準」などでは、次の6つが基本的な要素として記述されています。内部統制の基本的要素1, 統制環境2, リスクの評価と対応3, 統制活動4, 情報と伝達5, モニタリング6, ITへの対応参照先:金融庁「財務報告に係る内部統制の評価及び監査の基準」, P3-8(注意:リンク先PDF)クラウドネイティブな企業において「モニタリング」と「ITへの対応」の実現には、適切なログ管理が必要不可欠です。IPOを見据えた内部統制におけるログ管理の参考一般的に、「モニタリング」と「ITへの対応」において、ログ管理のあり方と利用は、次のようなものがあります。「モニタリング」でのログ管理内部統制におけるモニタリングとは、「内部統制は有効に機能しているかを継続的に評価するプロセス」を指します。このモニタリングにおけるログ管理の活用方法として、勤務実態のチェックや証明などが挙げられます。IPOを目指し成長を続けてきた企業の中には、勤務実態が法令基準から大きく外れてしまっていることも珍しくありませんが、一方でリモートワークがなどが普及した現代ではその実態を調査することは困難です。適切な業務と法令遵守達成のため、ログを用いてその実態を把握するわけです。「ITへの対応」でのログ管理内部統制の効率的な実現にはITの活用が必要です。国内では日本版SOX法などにおいて、IT統制の目標に下記のようなものが掲げられています。組織目標を達成するためのITの統制目標ITの統制を有効なものとするために経営者が設定する目標を、ITの統制目標と 呼ぶ。ITの統制目標としては、例えば、次のものが挙げられる。a. 有効性及び効率性:情報が業務に対して効果的、効率的に提供されていることb. 準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されている ことc. 信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理 されること(正当性、完全性、正確性)d. 可用性:情報が必要とされるときに利用可能であることe. 機密性:情報が正当な権限を有する者以外に利用されないように保護されている こと参照先:金融庁「財務報告に係る内部統制の評価及び監査の基準」, P43(注意:リンク先PDF)ログ管理を行うことで、信頼性や機密性が確実に達成されていることを証明したり、現状の課題を明らかにすることができます。こちらも、クラウドを業務主体とした場合には欠かせない要素となるでしょう。ログ管理はどのようにあるべきか?ここまでの内部統制の側面から考えると、もしあなたがIPOを目指す企業にいる場合には、内部統制に資するログ管理を構成しておく必要があるでしょう。収集するログに必要な情報が含まれているかを精査そのログ情報がきちんと収集できているか、欠損はないか改竄されたログでないか(収集ログは正しく保護されているか)各種法令や監査に用いることができるだけの期間のログを保存しているかこのような点に着目し、内部統制の有効的かつ効率的な実現を達成すると良いでしょう。まとめ本記事では、ログ管理について、基本的な機能から内部統制との関係性について扱いました。クラウドが普及し、社内のIT環境がますます煩雑化する中で、どのようにIT統制の目標を達成するかは、よりプロアクティブに考えていく必要があるでしょう。SIEM機能でIT内部統制に貢献する次世代セキュリティソリューション:Cygiene弊社のセキュリティプロダクト「Cygiene」ではアカウントの特定やユーザーアクティビティの分析などSIEM機能を提供し、IT内部統制の実現に貢献します。より詳しい内容を知りたい方に向けてホワイトペーパーを提供しております。ご希望の方は以下のフォームよりお問い合わせください。ホワイトペーパーダウンロードはこちらから