監査ログとは、オペレーティングシステム (OS)、アプリケーション、またはデバイスに対するすべての変更を詳細に時系列で記録したものであり、システムの運用と使用の追跡を目的としています。
最新の IT システムは非常に複雑で、膨大な監視作業を必要とします。パフォーマンスが低下し始めると、エラーが判明したり、セキュリティやコンプライアンスの問題が発生したりするため、誰がシステムにアクセスし、どのような操作を行ったかを把握することが不可欠です。
「監査記録」とも呼ばれる監査ログは、この重要な情報を提供します。コンピューターシステム内のイベント記録の役割を果たす監査ログがあることで、監査人と IT 担当者がユーザーのアクションを追跡できます。これにより、システムがどのように使用され、どこで問題が発生し、どのようなセキュリティ上の弱点が存在し悪用される可能性があるのかについて重要なインサイトを提供できます。さらに、法令遵守の要件として監査ログを一定期間保管することが求められる場合もあります。
ビジネスのあらゆる側面と同様に、権限を持つ人物が詳細な記録に容易にアクセスできることは多数の明確な利点をもたらします。また、コンプライアンスの枠組みによって統制されている業界内で事業をする企業にとって、監査ログは単にメリットがあるというだけでなく、標準化された要件でもあります。
ここでは、監査記録を維持することについて最も一般的な利点をいくつかご紹介します。
PCI DSS や HIPAA など広く普及している規制枠組みは、コンプライアンスの証明として監査ログの使用を要件としています。監査ログは公的な事業記録として機能し、監査人に IT システムの検査と承認の基本的リソースを提供し、企業を罰金などの発生しうるペナルティから守ります。
効果的な IT セキュリティの鍵になるのは信頼性の高い知識です。監査記録は IT システム内のすべてのアクティビティに関する詳細な記録を提供します。これには標準アクティビティだけでなく、データセキュリティ対策違反となる不正データアクセスを含むアクティビティや、外部の攻撃者によるセキュリティ侵害を示すアクティビティも含まれます。監査ログを適切に使用すれば、IT 専門家はセキュリティ脆弱性の可能性を特定し、データの不正使用を特定して修復し、緊急のセキュリティイベントに迅速に対応できます。またこうしたログは公的性質を持つため、法廷での証拠としても使用できる場合があります。
ユーザーがどのようにシステムを操作しているかを把握することは、こうした操作を改善するための第一歩です。ユーザーアクティビティを追跡することで、管理者やその他の認定監視者はパフォーマンス、生産性、効率などに関する問題について価値あるインサイトを取得できます。同時に、潜在的に問題となりうる課題を制御不能になる前に迅速に特定して解決することもできます。
規制当局、パートナー、ベンダー、さらには顧客でさえ、時間とリソースを費やす前にそのビジネスのセキュリティが万全かを知ろうとします。明白な監査記録は、組織がデータプライバシー保護のために講じたセキュリティ対策の詳細を示します。監査ログをリスク管理フレームワークの一環として使用することで、ビジネスが低リスクの機会であることを証明できます。
信頼性の高い監査ログを維持することには多くのメリットがあるため、こうしたデジタル記録は当然、幅広いユースケースに応用されます。以下のような用途があります。
コンプライアンス認定を必要とする企業は、自社システムがどのように機能し、どのようにアクセスされて使用されるかについて完全なデジタル記録を残さなければなりません。監査人は監査記録により、その組織がパラメーターの許容範囲内で運営され、問題となる例外がないことを確認できます。
リアルタイム追跡システムと監査ログを組み合わせることで、IT スペシャリストはシステム内で発生している不正または違法なアクションを認識できます。監査ログは脅威検出に、潜在的なセキュリティの問題を発生と同時に迅速に特定するために必要な証拠とインサイトを提供します。
企業が自社のデータまたは IT システムの結果として法的措置に関与する場合、監査ログはフォレンジック調査の証拠として使用されることがあります。これにより企業は、自社が確立されたコンプライアンスのガイドラインの範囲内で運営していたことを証明できます。またシステム内で違法なアクションを行っていた人物に対する証拠として監査ログを使用することもできます。
SOC (System and organization controls) レポートは、サービスプロバイダーがコンプライアンスに従って業務運営していることを示し、そのサービスプロバイダーを利用する企業にとって安心材料となります。監査ログによって、さらに完全な SOC レポートを容易に作成でき、ベンダーは自社の信用と信頼性を明確に確立できます。
監査ログによって、企業は IT システムのアクティビティを細部まで検証できます。これにより、影響の少ないバグさえも迅速に発見して解決でき、セキュリティ侵害後の復旧も容易になります。
上記のメリットを提供するには、監査ログに不可欠な詳細が含まれていなければなりません。こうした詳細は IT 環境とシステム内のすべてのアクションに関する状況を明確に把握するために役立ちます。そのため、信頼性の高い監査ログには以下の情報が含まれている必要があります。
個々の端末に関連付けられる一意の識別子。システムへのアクセス元の特定に使用できます。
特定のユーザーに関連付けられる一意の識別子。システムにアクセスした人物の特定に使用できます。
システムのアクションが試行または実行された日時とシステムアクセスの時間の長さを示す、信頼できるタイムスタンプ。
ユーザーがアクセスを試みたネットワークに関する詳細情報 (試行が失敗した場合も含む)。
ユーザーがアクセスを試みたシステム、データ、アプリケーションに関する詳細情報。
ユーザーがアクセスを試みた特定のファイルに関する詳細情報。
システム、ネットワーク、アプリケーション、またはファイルに対して実行された変更に関する詳細情報。
ユーザーがどのシステムユーティリティにアクセスし、どのように使用しているかに関する詳細。
ユーザーによって発報された可能性があるセキュリティアラームまたは通知に関連する情報。
ユーザーがシステム内にいる間にトリガーされたすべてのシステム通知の明確な記録。
アクセスを手作業で記録して検証する時代は過去のものです。今日の最も重要なテクノロジーソリューションには、監査記録の自動作成機能、システム内で実行されたアクションのデータを例外なくすべて記録し保存する機能が含まれます。とはいえ、企業が有効なログ管理戦略を実施する際に、以下のような障壁に直面することもまだあります。
監査ログは大量のデータで構成され、追跡対象のプロセス、システム、デバイス、アクションが増えるほど、必要となるストレージ容量も増えます。これが企業にとってはストレージの問題を生み、必要となるストレージへの投資が増加してしまいます。SaaS プラットフォームプロバイダー契約に十分なデータストレージ容量を含めることもあれば、最新の GRC ソリューションにまだ乗り換えていない場合は、社内サーバーの増設やオフサイトのストレージ容量への支出増などの対策を講じることもあります。
監査記録の主なメリットの一つにセキュリティ強化が挙げられますが、監査記録自体がセキュリティの脆弱性となる場合があります。監査ログ情報へのアクセス権限を持つ人が多すぎると、監査中に取得された機密データが漏洩する可能性があります。このリスクを軽減する対策のひとつとして、ペルソナベースのランディングページとレポートを設置し、監査アクティビティとエンゲージメントタスクをリアルタイムで閲覧できるようにするという方法があります。また、監査ログ自体が監視対象システムよりもセキュリティ面で劣るため、攻撃者を機密データにアクセスしやすくする経路になりかねません。セキュリティ対策をした SaaS プラットフォームからポータルを通じてアクセスすることでこのリスクを軽減できます。
1 つの会社内であっても、デジタル記録の保管期間について意見が分かれる場合があります。法令によっては最低期間が設定されている場合もあります (6 か月から 7 年間まで)。それ以上の場合、監査ログデータを廃棄するまでの期間を決めるのは各企業です。古い監査記録を保管しているほど組織の保護対策は強固になりますが、必要以上に監査データを長期間保管しておくことはストレージコストの観点からみれば不要な多額の支出となります。
監査ログを過剰に徹底するとシステムの反応が遅くなります。前述の項目と同様に、IT 部門の意思決定者はセキュリティとシステム効率の適正なバランスを見つける努力を迫られるかもしれません。
多数の異なるシステム、デバイス、アプリケーションに依存している企業は、各ログソースがそれぞれ監査ログを (場合によっては複数の監査ログを) 生むため、問題が発生する可能性があります。これは前述のデータストレージの問題だけでなく、レポートの不統一につながることもあり、複数のソース間で監査記録を照合することが困難になるおそれがあります。
ログ分析が優先順位の低いタスクとして扱われることがあります。その場合、担当者が適切なトレーニングを受けていなかったり、効果的なツールへのアクセス権が与えられていなかったりするかもしれません。その結果、分析が拙速で不完全、不正確であったり、そもそも一切実施されなかったりして、データ侵害やその他の緊急事態への対応として例外的に行われるだけになる可能性があります。
ServiceNow の Governance, Risk, and Compliance (GRC) は、監査管理機能を単一の一元的な場所に集約します。重要なデータは自動的に収集と分析が行われ、監査記録が設定され、コンプライアンスとセキュリティの問題が迅速に特定されます。ServiceNow GRC の Audit Management では、システムとユーザーの連携を最適化するために必要なインサイトをご覧いただけます。
ServiceNow は、付加価値の高い、人にしかできない新しい仕事を創出します。ServiceNow により、あらゆる規模の企業が、リスク管理、コンプライアンスアクティビティ、インテリジェントな自動化をデジタルビジネスプロセスにシームレスに組み込み、リスクの継続的な監視と優先順位付けができるようになります。ServiceNow Risk ソリューションにより、企業全体の非効率的なプロセスとデータサイロを、自動化、統合された実行可能なリスクプログラムに変換できます。リスクベースの意思決定を改善し、企業全体のパフォーマンスとベンダーとのパフォーマンスを向上させて、ビジネスに対するリスクをリアルタイムで管理できます。また、予算を無駄にすることなく、日常業務においてリスク情報に基づく意思決定が可能になります。
ServiceNow でリスクとレジリエンスをリアルタイムで管理