証跡管理とは

効率的な監査を実施するための証拠を一元管理する

証跡管理とは、ITシステムを使った業務プロセスや処理、従業員の行動などが社内ルールに則ったものであるかどうかを示す証拠を管理することです。社内の情報資産の取り扱いに対する内部監査への備えとして行うのが主な目的で、誰が・何のために・いつ・どのように情報にアクセスしたかを正確かつ詳細に記録した監査証跡を一元管理するという役割があります。

証跡管理で収集・保存した記録は、定期的またはインシデントの発生時の内部監査で使用されます。内部監査をスムーズに行うためにも、有力な材料となる監査証跡を一元管理する証跡監査が重要になってくるのです。

監査証跡（証跡）とは

監査証跡はシステム監査を行う際の基礎資料として必要になるログデータで、「誰が」「いつ」「どこから」「何をしたのか」という情報の記録が時系列で記載されています。システム監査の際に有力な監査証跡となるのは、OSやデータベース、業務アプリケーションなど各種システムの「監査ログ」と呼ばれる情報です。

これらの情報は、情報システムの信頼性・安全性・効率性・有効性などが確保されているかどうかを実証するために用いられます。監査証跡を一元管理し、内部監査を効率的に実施するための取り組みが証跡管理です。

ログによる証跡管理で痕跡をチェック

外部からネットワーク攻撃を受けた際、攻撃者を特定するのは容易なことではありません。ただ、ルーターやスイッチ、ファイアウォール、サーバーなどのネットワークデバイスに攻撃者が侵入して操作を行った場合、イベントログやSyslogが生成されます。これらのログデータ（証跡）は電子上の指紋のようなもので、攻撃者が残した痕跡をチェックすることにより、操作記録を探ることが可能。攻撃の原因特定や攻撃者を絞るのに役立ちます。

「適切な」ログ管理を行うためのポイント

適切なログ管理を行うには、「目的に合った十分な情報が蓄積されているか」「ログの取得自体がリスクになっていないか」の2点をクリアしている必要があります。

目的に合った十分な情報を蓄積している

ログはただ取得すればいいというものではなく、目的を果たすのに十分な情報が含まれているかどうかが重要になってきます。なぜなら、情報が不十分だとインシデントの発生原因が解明できず、適切な再発防止策の検討も難しくなるからです。実際に情報漏えい等のインシデントを起こした企業の発表を見ても、多くの企業がログの取得が不十分で発生原因を解明できないという事態に陥っています。

ログの取得自体がリスクになっていないか

ログの保管場所や蓄積している情報の内容が不適切な場合、ログの取得そのものがリスクになっていることがあります。ログの取得がリスクになっている例としてあげられるのは、ECサイトへの不正アクセスによるクレジットカード情報の漏えいです。本来保管してはいけないはずのセキュリティコードがログファイルに記載が残る仕様になっており、不正アクセスを受けた際に漏えいする事故が発生しています。