PC操作ログの取得や監視は管理する側としても従業員側としても良い響きに聞こえないことがあります。
しかし、実際には企業や組織としての透明性を確保し従業員を守るためにあり、同時に内部不正やサイバー攻撃を検知や原因特定には欠かせない仕組みです。
今回はPC操作ログの種類、そしてPC操作ログの取得・監視・管理の際に注意しておくべきポイントについてお話します。

PC操作ログの種類

PC起動・ファイル操作

PC起動に関するログはPCの起動、OSにログオン・ログオフ、スリープ・スリープ解除、スクリーンセーバー・スクリーンセーバー解除、OSシャットダウン要求・OSシャットダウン、ロック・アンロックなどが挙げられます。
ファイル操作に関するログは操作対象のファイル名、操作対象のファイルパス、操作元のドライブ種別、変更後のファイル名、プロセス名、コピー・移動先のファイルパス、コピー・移動先のドライブ種別、スマートフォンへのファイル操作ログなどが挙げられます。
どのログもパソコンで業務する際に生じるログであり、怪しい挙動があればすぐに検知できるログでもあります。

メール添付・メール送信・チャットメッセージ

メール添付に関するログは操作対象のファイル名、操作対象のファイルパス、プロセス名、操作元のドライブ種別が挙げられます
メール送信に関するログは件名、送信日時、送信元メールアドレス、送信先メールアドレス、添付ファイル名が挙げられます。
チャットメッセージについては送信した文字や文章の内容自体がログとして挙げられます。
これらのログについても、通常の業務であればごく自然に生じるログであり、従業員として雇用されている身であればログの取得や監視をされても問題ないログと言えます。

ファイルダウンロード・インターネットへのファイルアップロード

ファイルのダウンロードに関するログはダウンロード元のURL、アップロードに関するログは操作対象のファイル名、アップロード先のURL、操作対象のファイルパスなどが挙げられます。
これらのログは内部不正による情報漏洩や悪質なファイルのダウンロードなどを検知、もしくは原因の特定する際に役立つログです。

印刷・ドライブの追加と削除

印刷に関するログはドキュメント名、ファイル名、プリンター名、印刷枚数、印刷データタイプが挙げられます。
ドライブの追加と削除に関するログはドライブ種別 、ドライブ名、UNCパス、デバイス名、ベンダー、プロダクトID、シリアルナンバーが挙げられます、
これらのログは紙への印刷や外部記憶装置の不正使用による情報漏洩の検知および原因の特定に役立ちます。社内規則やルールに違反、もしくは立場や権限を越えてデータを出力やコピー移動されないための対処ができるということでもあります。

クリップボード操作・ウィンドウタイトル・プロセス

クリップボード操作に関するログは文字列のコピー、ファイルのコピー、画像のコピー・プリントスクリーンが挙げられます。
ウィンドウタイトルに関するログはプロセス名、ウィンドウタイトル、URLなどが挙げられます。
プロセスに関するログはプロセス名、アカウント名、バージョン、起動日時、起動していた時間が挙げられます。
これらのログは通常のPC操作ログだけでは区別や判別、判断がしにくい場合に少し掘り下げた情報が知りたい場合に役立ちます。中でもクリップボード操作に関しては簡単な操作で情報漏洩につながりやすいことから、重点的に監視すべきログと言えます。

Webフォーム送信・FTPファイルアップロード

Webフォーム送信に関するログはURL、書き込み内容が挙げられます。
FTPファイルアップロードに関するログは操作対象のファイル名、アップロード先のIPアドレスが挙げられます。
通常の業務でこれらの作業を行わない場合、デバイスの乗っ取り、内部不正による情報漏洩、サイバー攻撃による不正操作であることが明白なので、検知や原因の特定とともに前もって対策しておくべき部分でもあります。

Google Apps操作

Google Apps操作に関するログはGoogle ドライブ、Gmail、Google カレンダー、Google グループなどをブラウザによる操作が挙げられます。
ブラウザかつクラウドを介した内部不正は検知や原因が特定しにくいことから、これらのログやWebへのアクセスログを取得、検知、監視しておくことは、これからの時代に必要不可欠です。

PC操作ログの取得・監視・管理の際に注意しておくべきポイント

次にPC操作ログの取得・監視・管理の際に注意しておくべきポイントについて解説します。

社内や組織内において私物のデバイスやネットワークを使用させないこと

先にご紹介したPC操作ログの種類については、IT資産管理ツールや情報資産管理ツールのクライアントがインストールされていないと取得できないログです。そのため、社内や組織内において私物のデバイスやネットワークにて不正な操作をされても検知や原因の特定ができません。
これらを防ぐためには社内や組織内において私物のデバイスやネットワークを使用させないこと、持ち込ませないことを徹底しましょう。単にパソコンやスマートフォン、タブレットのようなデバイスだけでなく、USBメモリは外付けHDD/SSDなど外部記憶装置についても警戒しておくことをおすすめします。

社内ネットワークや社内システムへの権限の設定やアクセス制限も行うこと

前項の物理的なデバイスの制限とともに、社内ネットワークや社内システムへの権限の設定、アクセス制御も行うべきです。同様にファイル操作に関する権限やアクセスの制御も重要であり、PC操作ログの取得や監視とともに、そもそも不必要なデータ・情報に触れられない、見えない仕組みにしておくことが大切です。
その他、ファイル操作の権限の設定、アクセス制御をしていても、上長および上司のアカウントやIDを使ってファイル操作や作業を行わせるのも原則として禁止すべきです。ありがちな例として、アルバイトやパートにシフトの書き込みをしてもらうために管理者のIDやアカウントで操作させたり、簡単な事務作業を勝手にさせたりすることで権限やアクセス制御を越えてデータ・情報にアクセスできてしまうケースが挙げられます。
これらはアルバイトやパート、正社員や契約社員など立場に関係なく、相手を信用しているか否かでもなく単なる「人為的な脆弱性」となり、セキュリティホールになることを理解、周知徹底しておきましょう。

PC操作ログの取得や監視ができる仕組みを導入して終わりにしないこと

PC操作ログの取得や監視ができる仕組みを導入すると、内部不正や外部からのサイバー攻撃による乗っ取り、不正操作に対して安心感が生まれてしまいます。しかし、PC操作ログの取得や監視・管理だけですべての脅威やリスクに対応できるわけではありません。
マルウェアや他のサイバー攻撃への対策、フィッシングサイトや標的型メールによる心理的な隙を狙った攻撃への対策など、既知の問題だけでも対処すべきことはたくさんありますので、総合的なセキュリティ対策を怠らないようにすることをおすすめします。

まとめ：内部不正をしない、させない、透明性の高い環境を構築しよう！