【全】ヘッダーリンク
【全】お問い合わせ
サイト内検索 検索
【全】メガメニュー
H1

コラム掲載

【お知らせ一覧・詳細】コラム掲載
ログ管理・証跡管理の掟

第2回:法規制・ガイドラインに見るログ・証跡管理の必要性

1月より開始いたしましたET通信連動コラム第2弾「ログ管理・証跡管理の掟」。第2回となる今回は、法規制やガイドラインにおいて、ログ管理や証跡管理がどのように記載されているかを紹介いたします。

情報セキュリティ管理基準(経済産業省)


経済産業省が発行する情報セキュリティ管理基準は、情報技術(IT)の産業全般への浸透に伴い、各事業者における情報セキュリティの確保のため、企業に求められる対策をまとめたガイドラインです。

表1. 情報セキュリティ管理基準におけるログ管理
項番 内容
12.4.1 利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューする。
12.4.2 ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護する。
12.4.3 システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューする。
12.4.4 組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックは、単一の参照時刻源と同期させる。

システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)


改正金融商品取引法における上場企業の内部統制の整備及び運用状況の有効性の評価・報告が義務付けられた、いわゆる「JSOX対応」における「ITへの対応」の部分に関し、「システム管理基準等」のガイドラインとの関連性を示したものです。
実質的には上場企業におけるJSOX法対応の一環であるIT統制に対する標準的な指針として位置づけられています。

表2. システム管理基準 追補版におけるログ管理
項番 内容
3-(2)-①-ホ 情報システムはアクセス記録を含む運用状況を監視することが望ましく、また、情報セキュリティインシデントを記録し、一定期間保管すること。
3-(2)-①-ヘ 情報システムで発生した問題を識別するために、システム運用の作業ログ・障害の内容ログ及び原因ログを記録し、保管すること。 取得されたログは、内容が改ざんされないように保管することが望ましい。

金融機関におけるコンピュータシステムの安全管理基準(FISC)

金融情報システムセンター(FISC)が業界自主基準として昭和60年に策定以来、改定を重ねてきた金融業界におけるITシステムの運用およびセキュリティ基準。金融庁におけるIT検査においても参照されており、実質的に金融機関におけるITシステムのガイドラインとして機能しています。
現在のガイドライン(第8版)では、138の設備基準、114の運用基準、53の技術基準で構成されており、特に運用基準、技術基準において特権アカウントの管理についての内容が規定されています。

表3. FISC安全対策基準におけるログ管理
項番 内容
運22 オペレーションの正当性を検証するため、オペレーションの記録、確認を行うこと。
運23 クライアント・サーバーシステムにおける不正使用等を防止するため、依頼、承認等の手続きを明確にし、実行、記録、結果等を適切に管理することが望ましい。
運40 端末機操作による不正取引を防止するため、取引明細表、端末機操作記録等により、取引内容が検証できる体制を整備すること。
技37 アクセス状況を管理するため、システムやデータベースのアクセス履歴を取得し、監査証跡として必要期間保管するとともに定期的にチェックすること。

PCI DSS(クレジットカード 業界セキュリティ基準)


PCI DSS は、 国際カードブランド団体(PCI SSC) によって定められた、カード会員データを保護するためのシステムインフラのセキュリティ対策基準です。国内では、日本クレジット協会が、加盟するカード会社や加盟店に対し、本基準を準拠する自主期限を設定し、安全なクレジットカードの利用環境の普及に努めています。
 

PCI DSSは12の要件から構成されていますが、要件10が「ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する」となっており、要件のほぼすべてがログ・証跡の取得と点検に関する内容となっています。

表4. PCI DSSガイドラインにおけるログ管理
項番 内容
10.1 システムコンポーネントへのすべてのアクセスを各ユーザにリンクする監査証跡を確立する。
10.2 (次のイベントを再現するために、)すべてのシステムコンポーネントの自動監査証跡を実装する。

10.2.1 カード会員データへのすべての個人アクセス
10.2.2 ルート権限または管理権限を持つ個人によって行われたすべてのアクション
10.2.3 すべての監査証跡へのアクセス
10.2.4 無効な論理アクセス試行
10.2.5 識別と認証メカニズムの使用および変更およびルートまたは管理者権限をもつ
          アカウントの変更、追加、削除のすべて
10.2.6 監査ログの初期化、停止、一時停止
10.2.7 システムレベルオブジェクトの作成および削除
10.3 イベントごとに、すべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録する。
→ユーザ識別/イベントの種類/日付と時刻/成功または失敗を示す情報/イベントの発生元
10.4 時刻同期技術を使用してすべての重要なシステムクロックおよび時間を同期し、時間を取得、配布、保存するために以下の要件が実施されていることを確実にする。
10.5 変更できないよう、監査証跡をセキュリティで保護する。
10.6 すべてのシステムコンポーネントのログとセキュリティイベントを調べ、異常や怪しい活動を特定する。
10.7 監査証跡の履歴を少なくとも 1 年間保持する。少なくとも 3 カ月はすぐに分析できる状態にしておく。

以上のように、多くのガイドラインでログ管理・証跡管理について記載されていますが、ログ管理・証跡管理には、大きく以下の3つの目的があることがわかります。

(1) システム(OS)やデータベースに対する操作ログ・証跡
システム運用、管理を目的としてOSやデータベースに対する操作の内容を記録し点検することで、運用の正当性を確認する。

(2) ネットワークやファイヤーウォール等のアクセスログ
プロキシ、ファイヤーウォールやネットワークなどのアクセスを解析し、外部からのサイバー攻撃を察知する。

(3) 取引やトランザクションのログ
アプリケーション上の取引やトランザクションのログを解析し、不正取引の可能性を検証する。

また、どのガイドラインでも共通で記載されている点として、一つは時刻同期が挙げられます。ログを取得しても肝心の時間がずれていては、正確な情報ではなくなってしまいます。二つ目は、保管するだけでなく、点検を行うこと。当然ですが、何らかの異常の有無を調べるためにログを取得しているのですから、保管しているだけでは異常は発見できません。

次回からは、ログ管理の具体的な内容に踏み込んでいきたいと思います。

 

<<前へ    コラム一覧    次へ>>