監査証跡とは?ログによる証跡管理をツールで簡単に実現する方法

Windowsイベントログ・Syslog対応 ログ管理ソフト

監査証跡とは?

監査とは、業務やその業務の成果において、法令や社内規定をはじめとした守るべきルールが守られているかどうかの証明をする上で、その証拠をきちんと提示してその監査対象がきちんと守るべきものを遵守しているということを合理的に保証することです。

システムの開発や運用を対象としたシステム監査以外にも、会計監査など様々な分野の監査があります。

監査を実施する上で大切なのは、証拠となる情報つまり「監査証跡」を残しておくことです。システム監査において、実際のシステム動作の記録を監査証跡として取り扱います。

情報システム分野では、たとえば、ISO27001(情報セキュリティマネジメントシステム)、GDPR(EU一般データ保護規則)・PCI-DSS(クレジットカード個人情報保護の国際基準)・FISMA(連邦情報セキュリティマネジメント法)などに適合することで、自社の情報セキュリティ体制のレベルの高さを証明することができます。

監査の際、基礎資料として必要となるのが、「監査証跡」です。システム監査における監査証跡とは、情報システムの運用における、操作、発生事象が記載された資料を示します。監査証跡には、「誰が」「いつ」「どこから」「何をしたか」という情報の記録が、時系列で記載されるのが求められます。その監査証跡となるのは報告書などではなく、WindowsイベントログやSyslogなどの実際のログデータです。これらの監査証跡(イベントログ/Syslog)を一元管理し、監査をスムーズにするための取り組みを、証跡管理といいます。

ログによる証跡管理で攻撃の証跡も見過ごさない

また、外部からネットワーク攻撃を受けた際に、誰が攻撃を行ったのかを特定することは簡単なことではありません。また、できる限りの予防策をとったとしても、すべての攻撃からネットワークを守ることは不可能といえます。

しかし、攻撃者が侵入を行った際には必ず何らかの痕跡が残ります。イベントログSyslogは、攻撃の原因を特定し、攻撃者を絞り込むための重要な手がかりとなります。

ルーター、スイッチ、ファイアウォール、サーバーなどのネットワークデバイスには、ユーザーが操作を行う度にイベントログやSyslogが生成されます。これらの操作記録は、ネットワーク機器やアプリケーションにアクセスしたユーザーが残す電子的な指紋(以下、電子指紋)のようなものです。電子指紋から、いつ操作が行われたのか、その後どうなったか、誰が操作をしたのかを把握することが可能であり、攻撃の全体像を把握することに役立ちます。

一方、イベントログSyslogをツールなしで分析するのは、非常に骨が折れ、時間がかかる作業となります。その上、正確なログ分析を行うには、ログデータの安全性を確保して、改ざんを防止する必要があります。

それでは、監査のための証跡管理はどのように進めていけばよいのでしょうか?「監査前日に、複数の機器のログを頑張ってまとめる」というのも一つの手ですが、便利なツールを使う方法があります。

まとめるのが大変な証跡の管理はツールで簡単に

それでは、監査を乗り切るために必要な機能が搭載されたツールとはどういうものなのでしょうか?監査証跡管理のために必要な機能をまとめると、主に以下の機能が該当します。

機能導入メリット
自動ログ保管機能ホスト側で操作をしなくても、一定期間ごとに自動的にログを収集する機能
コンプライアンスレポート自動作成機能保管したログを基に、コンプライアンス監査に対応するレポートを自動的に発行する機能

通常、ログ保管機能だけでは、ダウンロードしたログをエクセルやエディタでまとめ直したり、別途アウトプットしたりする必要があります。

コンプライアンスレポートを自動的にアウトプットする機能が搭載されているツールを選定することで、より簡単に、監査証跡の準備が可能となります。

当社は、イベントログ・Syslogを監査証跡として一元保管し、必要に応じてコンプライアンス監査に対応するレポートを発行でき、しかもお求めやすい価格のツールを開発しました。

証跡管理を簡単にはじめられるツール

ManageEngineが提供する統合ログ管理ツール「EventLog Analyzer」は、監査証跡となるイベントログ・Syslogの管理を簡単に実施できる便利なソフトウェアです。

イベントログ管理ツールに通常搭載されている、自動収集、保管、圧縮機能はもちろんのこと、あらかじめ定められたコンプライアンス監査(PCI DSS、ISO27001、GDPRなど)に適合するレポートを発行する機能により、監査証跡の準備をスムーズに進行できます。

様々なデバイスのログを一元管理

EventLog Analyzerを使用することで、さまざまなシステムやネットワーク機器、アプリケーションから取得されたログに対する一元的な管理、アーカイブ、検索、分析や、ユーザー監査レポートシステム監査レポートコンプライアンスレポートなどの証跡レポートの生成が可能です。

EventLog Analyzer 証跡管理のためのログアーカイブ

ログ分析とコンプライアンス対策を支援するEventLog Analyzerを利用することで、収集したログに対する分析や、異常検知を効率化します。また、収集したログは長期保管のためにアーカイブされ、同時に改ざん検出と安全性確保のために暗号化されます。さらに生ログイベントをドリルダウンして、根本原因の調査を行うことも可能です。

検索機能を用いた高度なログ分析

EventLog Analyzerにより、ログの分析が容易になります。強力なログ検索機能で生ログとフォーマット済みログの両方を対象とした検索を行うことができ、検索結果にもとづいたレポートを即座に生成します。ネットワーク管理者は、ログ管理ツールを利用して生ログを検索することで、セキュリティインシデントを引き起こしたログを正確に把握し、関連したセキュリティイベントが起こった正確な時間、インシデントを起こしたユーザー、インシデントが発生した場所を突き止めることができます。

EventLog Analyzer 証跡管理のためのログ検索

EventLog Analyzerのログ検索機能は、攻撃者の挙動を洗い出し、迅速な調査に役立ちます。また、アーカイブされたログインポートすることができ、生ログ検索によりセキュリティインシデントを検索可能です。