WEBマガジン

「GRC(ガバナンス、リスク、コンプライアンス)に不可欠なITログ管理」

2010.06.05 株式会社オージス総研  今井 英貴

 ここ最近、GRCという言葉をしばしば耳にします。皆さんの中にも、Web上の記事などでご覧になった方がおられるのではないでしょうか?
 GRCとは、ガバナンス(Governance)、リスク(Risk)、コンプライアンス(Compliance)の3つの英単語の頭文字を繋げたものです。「G」、「R」、「C」の3つを包括的にマネジメントしていく考え方であると言えます。
 現在、多くの企業では、金融商品取引法における内部統制の整備が一段落されているところだと思います。しかし、そこに留まらず、GRCの考え方を取り入れて、他の法制度との融合的なコンプライアンスの確立や、企業全体としてのリスクマネジメントへの展開を進めることが、さらなる企業価値の向上に繋がります。

 さて、前置きが長くなりましたが、このGRCが注目されている今、改めて注目したいのが、「ITログ管理」です。ITログ管理は、一般的には、アプリケーションやコンピュータの操作記録、ネットワークにおける記録(ログ)等の収集や保管、分析、報告等を行うことを言います。

 企業がGRCをマネジメントしていくために必要な技術要素としては、他にもID管理やアクセス制御、プロセス管理等がありますが、ITログ管理は、「G」,「R」,「C」の3項目全てに必須で求められてくる、とても重要な要素です。以下に、GRCとログ管理の関連性を示します。

GRCとITログ管理の関連性
図1 GRCとITログ管理の関連性

 一方で、皆さんは、「ITログ管理」と聞いてどういうイメージをお持ちでしょう。ITログ管理は、これまでにも個人情報保護法や金融商品取引法等への対応の際に、要件として求められてきました。法令順守の都合上、しぶしぶ行われてきたともいえます。
 正直、あまり感じのいい、前向きな感想をお持ちの方は少ないかも知れません。その重要性について「わかってはいるけど、触れたくない」というあたりが正直な感想でしょうか。

 しかし、ITログ管理こそ、企業がGRCに取り組むための必須の要素であり、企業全体で包括的に管理する意義とメリットが非常に大きい業務領域だと言えます。

 それでは、この「触れたくない」ITログ管理を「しぶしぶ行わない」ために、効率的かつ無理のない導入の考え方を見ていきましょう。


 ITログ管理で成功し、その意義とメリットを最大限享受するには、もちろんシステム化や運用手順の構築も大切です。しかし、それと同じくらい(むしろそれ以上に)、「何のために」、「何を」、「どこまで」という考え方の整理から入ることが重要です。

 今までは、とにかくなんでもかんでもログを取得して、保管しておこうということで対応されてきた企業も多いと思います。ですが、これだけ取らなければならないログの種類が増えてくると、取得・保管しているだけでもコストが馬鹿になりません。また、「ログ管理は本当に役に立っているか」、「どのような効果を発揮しているのか」を定量的に評価できず、悩んでいるご担当者も多いのではないでしょうか?
 ログが膨大になっている今、なにが必要なログでなにが無駄なログなのか、そこを見極めて取捨選択することは、ログ管理を無理なく続けていく上で、非常に大切なことです。そのためには、
 

「何のために」、「何を」、「どこまで」管理するのか?

 そこをまず整理することが必要です。

 ログ管理の目的や要件を整理して、ポリシーやルールを明確にします。その上で、明確になったポリシーに基づいたログ管理を行うためのシステムを設計・導入し、それらとの整合性を考慮しつつ、ログ管理の運用手順を構築します。

ログ管理成功のための三本柱
図2 ログ管理成功のための三本柱

 また、ログ管理に関するポリシーを考える際には、まず、最終着地点のおおよその当たりを付けておかれることをお勧めします。
 企業によって自社が置かれている状況やかけられるコストは異なります。よって、ログ管理の目的や要件について具体的な検討を行なう前に、自社はどの程度のITログ管理を行なうのか、ざっくりとした「着地点」のあたりをつけておきましょう。

 以下に、大まかな着地点のイメージ例を示します。ここでは、ログ管理を「リアルタイム性(ログを確認や監査をする頻度)」と「網羅性(取得するログのきめ細かさ)」によって、4つの型に分類しました。コンプライアンスに対応するには、ある程度リアルタイム性を重視し、抑止力を発揮する必要があるかもしれません。ガバナンスを効かせるには、監査に耐えうるログをしっかりと取得する必要があると思われます。リスクマネジメントを適切に行うには、そのどちらをも高い次元でバランスよく取り入れていく必要があると考えられます。

ログ管理 着地点のイメージ
図3 ログ管理 着地点のイメージ

 どの型で行くかで、コストと効果に明確に差が出てきますので、最初の段階での着地点の模索は、とても重要です。。
 ここまでで、ログ管理の検討を開始するとっつきの部分を述べてきましたが、ご興味のある方は、私が執筆しております以下の記事の中で、より具体的な内容を説明していますので、是非御覧下さい。

  Web媒体上での連載EnterpriseZine「データ爆発と戦うシステム管理者のためのログ管理「虎の巻」」
 第1回「なぜ、ログを管理しなければならないのか?」
 第2回「あなたの会社はどのタイプ?~本当に使えるログ管理を行なうための4つの方法」
 第3回「アクセスログの保存期間は何ヶ月が正解?~自社の目的にあったログ管理計画のつくり方」
 第4回「あなたの代わりに自動でログを収集してくれる仕組みをつくりなさい」


*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。

『WEBマガジン』に関しては下記よりお気軽にお問い合わせください。