【インタビュー】 個人情報保護法・日本版SOX法が施行された今、企業が取り組むべき「ログ管理・活用」

ＮＥＣ 第一システムソフトウェア事業部 （マーケティング・販促グループ） 内山佳洋氏

　個人情報保護法や日本版SOX法など、企業を取り巻く法規制は厳しさを増している。さらに、後を絶たない個人情報漏えい事件を受けて、企業に要求されるセキュリティレベルも、年々シビアになっている。

　こうした流れの中、企業活動を支えるITシステムのログに注目が集まっている。万が一情報漏えいが起きても、ログが残っていれば、それを分析することで原因をつきとめ、事件解決や対策を打つことができるからである。あるいは、ログをモニタリングすることで不正アクセスやシステムの問題点を早期に発見し、事件・事故を未然に防ぐこともできる。

　すでに、日本版SOX法が施行されていることもあり、ログの活用もずいぶん進んでいるように思われるが、実情はそうでもないとNEC 第一システムソフトウェア事業部 内山佳洋氏は指摘する。

「昨年度から日本版SOX法が施行されましたが、ログを十分に管理・活用できている企業は、ごく一部に限られます。度重なる情報漏えい事件もあり、ログ管理の重要性について認識が高まっているのは確かですが、ログを保存していても管理・活用ができていないため、監査への対応やログで証跡を追う際には、手作業で整理・分析しなければならない企業が、まだ多数を占めているようです」（内山氏）

　そもそも、企業内には異なる時期に導入された、別々のベンダーのシステムが存在している。これらのシステムが、互いに脈絡もなく吐き出しているログを、手作業で収集・管理・分析するとしたら、膨大な手間とコストがかかる。とてもそこまで手が回っていないのが多くの企業の現実である。その結果、ログを管理・分析するスキルが情報システム部門に蓄積されていないのが実態なのである。



　そこで、最近注目を集めているのが「統合ログ管理」である。簡単に言えば、企業内に存在するさまざまなITシステムのログを自動的に収集して一元的に保存し、分析・活用するソリューションのことだ。それによって企業は、『1.監査への対応、2.情報漏えい対策、3.システム運用への活用』を実現できる。実際に、この3つを背景とした問い合わせが増えているという。

「統合ログ管理への問い合わせが増えている大きな理由は、まず日本版SOX法の経験を経て、監査におけるログの重要性が浸透してきたことがあげられます。また、情報漏えい事件が後を絶たない中、ログでシステム上の証跡データを追跡できるようにする動きが、ようやく本格化してきたという背景もあります。さらに最近は、ログを分析することで、システムの脆弱性を早期に発見したり、性能情報をシステムの拡張計画や設計に役立てようとする動きもあります」（内山氏）

　また、最近の傾向として「administrator」などの管理者権限を持った特権ＩＤユーザの行動を残しておきたい、という要望も多いようだ。特権IDユーザの証跡へ注目が集まるのは、監査の重要なポイントということばかりでなく、情報漏えい事件を多く耳にするようになり、脅威は社外ではなく社内にあるということが認識されはじめたからに他ならない。特権ＩＤユーザ自身が、不正な行動がないことを自ら証明するためにログを取っておきたいという問い合わせもあるという。

　このように、多くの企業がログを保存するだけのフェーズから、ログを積極的に管理・分析するフェーズへ移行しつつあるのが、いまの現状である。

ＮＥＣ 第一システムソフトウェア事業部 （マーケティング・販促グループ） 一宮隆祐氏

　NECが提供する「RSA enVision^TM powered by Express5800」は、こうした企業の統合ログ管理への要望に応えるために市場投入されたアプライアンス製品である。その特徴について、NEC 第一システムソフトウェア事業部 一宮隆祐氏は、次のように説明する。

「アプライアンス製品であるために、導入が容易である点が大きな特徴です。ネットワーク上に設置していただくだけで、統合ログ管理に必要な『収集』『管理』『活用』が可能になります。米国の金融機関を中心に世界の約1700社が導入している統合ログ管理ツールであるRSA enVisionを、豊富な実績を持つ弊社のPCサーバである Express 5800に搭載していますので、信頼性という点でも自信をもってオススメできます」（一宮氏）

　RSA enVisionは、セキュリティ企業として世界的に著名なRSAセキュリティ社が開発・提供している統合ログ管理ツールである。その最大の特徴は拡張性の高さにあると、内山氏は強調する。

「やはり、対応しているログの種類が圧倒的に多いのが特徴です。グローバルで著名な製品には、ほぼすべてに対応しています。原則的にクライアントに特殊なエージェントを入れる必要がないため、導入の際、監視対象の機器を停止する必要もまずありません。また、1,100種類以上のレポートテンプレートが用意されていますので、個々の企業の状況に合わせたレポートを自由に作成できます」（内山氏）

　2009年10月現在、ログの収集を標準サポートしている機器は約170種類となっている。米国生まれのツールであるため、国内の機器には未対応の製品も若干あるということだが、NECでは各パートナーと協力しながら対応を進めているため、心配する必要はないだろう。

　高い圧縮率も、RSA enVisionの大きな特徴である。取得したログデータを最大で約90％も圧縮するため、少ないストレージ容量でログデータの保存が可能だ。長期間保存したい場合など、必要に応じて外部ストレージを追加できる拡張性の高さも安心できる。

　そのほかにも、複数のログを付き合わせて分析を行う相関分析機能や、あらかじめ設定したポリシー違反を検知してアラートを発生させる機能も用意されている。統合ログ管理ツールに要求されるスペック・機能は、すべて揃っているといってよい。

RSA enVisionTM powered by Express5800

　通常、統合ログ管理ツールを導入する際には、収集するログの数や流量をあらかじめカウントする。収集するログの数に応じて製品ライセンスが決まるケースが多く、ハードウェアのサイジングも行う必要があるからだ。しかし、実際にはこれがなかなか難しい。はじめから全てのログを収集するケースは少なく、試行錯誤の上、運用を確立しながら段階的に収集するログを増やしていくケースが多いからだ。そのため、拡張の度に追加のコストがかかってしまったというケースもあるのが実情だ。

　こうした実情を考慮して、「RSA enVision^TM powered by Express5800」は、ログを取得する要件に合わせたラインアップを揃えている。例えば、最小のES-560は最大100デバイスまで収集可能だが、導入後、ログを取得するデバイス数が100を超えた場合、筐体を入れ替えることなく上位のライセンスにアップグレードし、対応デバイス数を増やすことができる。このため、収集するログの数が明確になっていなくても、安心して最小構成からスタートできる。

　また、統合ログ管理ツールの場合、サポートも重要なポイントである。万が一トラブルが発生しても、システムの性格上、運用を停止することは原則としてできない。また、蓄積されたログデータの保全を図ることが最優先されるため、一般的なシステムよりも、きめ細やかで高度な対応が要求されるからである。

「本製品のハードウェア故障には、全国に約４００拠点を持つNECフィールディングが対応します。他の一般的なアプライアンス製品の場合、機器をまるごと取り替えるといった対応も多いようですが、本製品は、NECフィールディングが駆けつけて故障した部品をオンサイトで交換するといった対応ができます。また、保守オプションもご利用いただければ、24時間365日の対応も可能です」（一宮氏）

　すでに十分な実績を持つ統合ログ管理ツール RSA enVisionとNECのハードウェア＋サポートが融合したソリューションが「RSA enVision^TM powered by Express5800」である。「ログを管理したい」「ログを分析・活用したい」と考えている企業にとって、間違いなく強力な選択肢になるだろう。