内部統制において、多くの企業は作業の結果確認や不正のチェックのためにログを蓄積して分析しようとしている。しかし、実際にその蓄積したログを定期的にレビューし、業務が正しく遂行されていることを確認しようとすると、かなりの作業負担が発生することに気づいている企業は、そう多くない。そこで、ログレビューの重要性から、それが困難な理由とその解決策までを、富士通 ソフトウェア事業本部 ミドルウェア事業統括部 プロジェクト課長 堀江隆一氏に聞いた。

富士通株式会社 ソフトウェア事業本部 ミドルウェア事業統括部 プロジェクト課長 堀江 隆一 氏

　金融商品取引法（J-SOX法）が施行され、上場企業およびその連結子会社では、財務にかかわる業務に関して、統制が始まった。システム運用におけるログ取得の必要性は内部統制の第一歩として、ほとんどの企業で既に認知されている。

　しかし、「作業申請とログを照合して結果を確認し、それを上長が承認する仕組みまでを整備している企業は決して多くはありません」と、堀江氏は警鐘を鳴らす。「本来の内部統制の考え方からすると、業務が正しく遂行されていることを証明する場合、何か問題が起きてからログを確認するだけでは不十分です。定期的に作業内容とログを照合してレビューすることで、作業に問題がないことを証明する必要があります。」

　定期的にログのレビューをするためには、すべてのログを対象にしていては時間や手間がかかりすぎる。したがって、まずは最重要のログに絞り込んで、確実にレビューを行っていくことが効果的だ。とくに、特権ＩＤを利用したサーバやアプリケーションなどシステムの根幹に関わる部分の変更操作などについてレビューを実施することが重要である。　富士通では、自社での内部統制の実施や、数多くのコンサルティングを行った経験から、以下の5項目がログレビューを必要とする最重要項目としている。

1.IDの追加、削除（サーバOS、データベース、アプリケーション）
2.ライブラリの変更（テスト環境から本番環境に移すときなど）
3.バッチスケジュールの変更、手操作によるバッチの実行
4.データベースの直接変更
5.システム設定の変更（パッチの適用など）

　これら5つの操作に関して、事前に申請された通りの作業が行われたかどうか、申請以外の余計な作業を行っていないかなどをログによって確認する。また、申請と異なる作業が行われている場合、いつ、誰が、どのような操作を行ったかまでをログとして記録し、追跡調査することが必要となる。

　もちろん上記はもっとも必要とされる項目であり、企業のポリシーや業務内容によって、さらに多くのログを収集して分析する必要がある場合もあるだろう。その場合でも、定期的にレビューを実施することを視野にいれて、取得すべきログの収集項目や分析方法を検討する必要がある。

　取得するログを絞り込んだら、ログレビューをどのようなプロセスで行っていくかを決める必要がある。ログレビューは、基本的に以下の手順で行われる。

　ログの収集対象を上記5項目に絞ったとしても、確実に必要なログを収集しようとすると、OSごとに取得方法が異なったり、サーバ台数分の作業を行わなければならなかったりと、実際にはかなり煩雑で時間もかかる。

　ログは収集のタイミングによっては重複して収集される場合がある。例えば、毎日ログファイルを収集するとファイルごとに重複した時間のログがあったりするため、この部分を確認のうえ削除しなければ使い物にならない。

　また、ログは一般的にサイクリックに記録されていくため、ファイル容量がいっぱいになると古いところから削除され、未収集であったログまでもが削除されてしまう可能性もある。

　これらを避けるためには、収集タイミングやその方法、収集後の確認作業が必要となる。これだけでもかなりの手間と言えるだろう。

　そもそも生のログの量は膨大で、OSのログ／アプリケーションのログ／アクセスのログ･･･といったように、ばらばらのログファイルに分かれて存在する。それを集めてきて照合しようとしても簡単にはいかないと堀江氏は語る。「たとえば、ある担当者の一連の操作を確認する場合、OSのログ、アクセスのログなどを逐一確認する必要があります。そのために、システム上に点在する大量のログから、対象データを抽出するだけでも膨大な時間がかかります。対象データが抽出できたとしても、ログの種類によって形式が異なるため、そのままではまとめて検索することもできません。このような、分析に必要なログの抽出、抽出したログの形式変換といった作業を効率良く行うためには管理ツールの導入が効果的です。レビューは定期的に行ってこそ意味があるのであり、一時的な負荷では済みません。定期的なログ抽出、形式変換などの作業負担の軽減はどうしても欠かせません。」

　そこで、富士通が勧めるのが、富士通の統合運用管理ソフトウェア「Systemwalker Centric Manager」である。本製品を利用すると、操作ログの収集から、点検、報告書の作成までの作業を作業負荷を大幅に削減しながら効果的に実現することが可能である。

　実際の運用に沿った以下の3つのフェーズに分け、特長を見てみる。

Systemwalker Centric Managerが提供するログ管理機能　

ログの収集 ・OSに依存なく、同じ操作でのログの自動収集 ・重複や取りこぼしなく、確実なログの収集 ・改ざん検知機能による、ログの真正性確保 ログの点検 ・さまざまなログの形式を統一 ・点検したい操作内容のログのみ抽出 ・万一不正な操作が見つかった場合、サーバやログの種別を越え横断的に検索し、一連の操作を追跡確認 報告書作成 ・報告用のレポートの自動生成 ・報告に必要なログの一覧出力（出力結果は添付書類として活用可能）

　このように、Systemwalker Centric Managerは、ログレビューのための一連の作業を強力にサポートし、確実で効率の良い内部統制を実現する。次回は、内部統制を確実にするためのバックアップ管理・ジョブ管理をどのように実施すべきかについて紹介する。