三洋信販,ソフトバンクBB,ジャパネットたかた,アッカ・ネットワークス――。2004年に入ってから個人情報漏えい事件が相次いでいる(関連記事)。これらの事件で意外に感じたのが,情報流出ルートや犯人を特定できないケースが多いこと。情報システムの動作を記録した「ログ」を活用すれば,もっと早く分かったのではないか――。このような疑問から,日経システム構築の5月号でログの重要性に焦点をあてた特集記事「ログは語る」を書いた。

 もちろん,ログをきちんと取得しその分析をするだけでは情報漏えい対策にならない。漏えい事件を引き起こした企業による原因の調査結果を見ると,「共有パスワードを利用していた」「データ抽出ツールなどを利用して情報を容易に一括ダウンロードできた」「個人情報を参照できる端末や,サーバーを設置してある部屋の入退出管理をしっかり実施していなかった」など,管理体制に問題があったケースがほとんど。これではログがあっても無意味である。セキュリティ・ポリシーの徹底や適切なアクセス制御が対策の大原則になる。

 ただ,これらの対策を実施していても,「正規のアクセス権限を持った人間による犯行は止められない」(ラック JSOC事業本部 取締役本部長 西本逸郎氏)ことも事実である。情報流出事件の多くが内部犯行であることを考えると,セキュリティ・ポリシーやアクセス制御といった従来の対策だけでは不十分だ。顧客情報の参照履歴はもちろん,サーバーやクライアントPCの操作ログ,インターネットへのアクセス履歴などを監視し,早期に問題を検知するための体制が不可欠になってきた。

 実際,個人情報漏えいを起こしてしまった企業の中には,今後の対策として「ログの取得や管理の強化」を挙げるところが多い。こうした事件は対岸の火事ではない。相次ぐ情報漏えい事件をきっかけに,「ログの重要性」を改めて見直しておきたい。

 ログと言えば,これまでは権限を持っていないユーザーによる不正アクセスの記録,すなわち「失敗ログ」の監視が中心だった。今後は,適切なアクセス制御を施した上で,権限を持ったユーザーによる「成功ログ」を監視することも重要になる。

効果は「内部犯行への抑止力」「不正の早期発見」「潔白の証明」

 ログを取得/監視する効果として,まず挙げられるのは事件の原因究明だが,これは少し後ろ向きな対策に思えるかもしれない。しかし,ログを取得/監視するメリットはこれだけではない。

 誰が,いつ,どの情報にアクセスしたかのログを取得/監視しておけば,「XX月XX日XX時にこの情報にアクセスしていたようだが,何かあったのか」とユーザーに確かめることができる。「自分の行動が常に監視され,ログとして残っている」ということをユーザーに知らしめることで,不正に対する抑止力となり得る。また,不正の芽を早期に発見して摘み取る,という視点も重要だ。「内部犯行の場合,最初からいきなり悪いことをすることはまれで,次第にエスカレートしていくケースが多い。早い段階から抑制していくことが大事」(ラックの西本氏)なのである。

 ログを確実に取得しておけば,何か問題が起きた際に,自社でしっかりと管理していたという証明にもなる。

 例えば三井住友カードやJALビジネスは,外部から不正侵入されたサーバーに個人情報が保存されていたことが問題を大きくした。不正侵入したクラッカが個人情報を持ち出したかどうかは不明である。同様の情報漏えいは,社内のウイルス感染でも起こる可能性がある。実際,2003年10月に16都府県34病院の「電子カルテシステム」でウイルス感染が発覚した事件では,ウイルスによる情報流出がなかったかどうかが問題の焦点となった。このような事件が起きた際に“情報は漏えいしていない”と言える証拠がほしい。ログがその役に立つ。

 もっとも,不正侵入の場合は不正侵入されたことで管理者権限を奪われている可能性が高く,ログを改ざん/削除されてしまった場合はどうしようもない。ログ自体のセキュリティ対策も併せて考えておく必要がある。

自社のログ戦略を策定しよう

 最近になって,ログを取得/監視するためのツールも充実してきた。サーバー側,ネットワーク上,クライアント側のそれぞれで,さまざまなログを取得することが可能である。

 例えばサーバー側では,OSにアドインしてファイルやプロセスに対するアクセス制御を強化する製品を利用できる。「バックアップ担当者に必要以上の権限を与えない」「Webサイトの管理者にはコンテンツ管理に必要な機能だけを与える」など,きめ細かなアクセス制御を設定した上で,ユーザーの操作を監査ログとして残すことが可能である。

 “フォレンジック”と呼び,ネットワークに流れるパケットを丸ごと保存し,特定の通信を再現できる機能を備えた製品も増えている。ユーザーが「Webブラウザでどのような画面を表示していたか」「メールでどのような内容をやり取りしていたか」などを,実際のユーザーの操作に近い形で確認できる。

 このほか,クライアントPCにエージェント・ソフトをインストールし,アプリケーションやファイルの操作履歴,Webサイトのアクセス履歴,メールの送受信履歴などをログとして記録できる製品がある。中には,クライアントPCのスクリーン・ショットまで残せる製品もある。ある卸売業者は,ツールを導入して監視するようにしたところ,アルバイトによる不正行為を発見できたという。

 こうしたツールの活用も含め,「どのような情報を取得し,いつまで保存するか」という自社のログ戦略を策定することが重要である。ログは,やみ雲に取ればいいというものではない。何を取得するかだけでなく,重要性に応じてログごとの監視頻度や保存期間も決めておくようにしたい。

 実際にログの取得体制を構築する上では,「ログのセキュリティ対策(改ざん/削除されてしまったら無意味)」「サーバーやクライアントの時刻合わせ(ログごとの時刻がずれていると突き合わせが大変)」「パフォーマンスへの影響(特にDBサーバーは監査ログの取得で負荷がかかる)」なども考慮する必要がある。

(榊原 康=日経システム構築)