ログ監視に関する誤解や未導入の場合のリスクと最低限監視対象とすべきログについて
- INDEX
-
ログ監視はそれなりの規模の企業や組織であれば、セキュリティ性を確保するため、もしくはIT資産や情報資産を守るために必須と言える仕組みの一つです。
しかし、ログ監視にありがちな誤解や勘違いによって、ログ監視の導入が進まず、セキュリティ性を確保できず、結果として不要なリスクや脅威に晒されているケースが存在します。
今回はログ監視に関するありがちな誤解や勘違い、ログ監視を未導入の場合のリスク・脅威、そして最低限監視対象とすべきログについてお話します。
ログ監視に関するありがちな誤解や勘違い
はじめにログ監視に関するありがちな誤解や勘違いについて簡単に説明します。
監視されていると仕事・業務・作業がやりにくい
ログ監視をされていると仕事がしづらいという誤解があります。むしろ、業務に関わることであれば何を見られても問題ないはずですが、監視されているのが嫌と感じてしまうのはごく自然な感情とも言えます。
基本的にログの監視は「サボっているか」を見張るためではなく、内部不正やサイバー攻撃による怪しい挙動を検知するためにあります。そのため、後ろめたいことがなければ仕事がししづらいと考える必要は全くありませんし、そのような「一個人の気持ち」だけでセキュリティ性を著しく下げる必要がないのは明白です。
ログ監視はプライバシーの侵害になる
ログ監視がプライバシーの侵害になるという誤解や勘違いもあります。例えば、私物のパソコンに表示されているデスクトップの画像を逐一スクリーンショット撮影していれば、確かにプライバシーの侵害かもしれません。しかし、会社のパソコンで業務や作業を行う場合は異なります。
むしろ、情報漏えいやデータの改ざんが起きた場合、または何か自分自身がうっかりミスや勘違いで操作した場合にログに残ることで、故意および悪意のある操作ではないと後から区別できるので透明性が高くなります。ログの監視が偶発的なミスから従業員を守るためにあることを忘れてはいけないということです。
各種ログの取得や監視・管理業務が煩雑かつ大変
各種ログの取得や監視・管理業務が煩雑かつ大変という誤解、勘違いも存在します。基本的にログの取得も監視も全自動です。逐一ログの取得のために操作する必要はなく、普段と違う操作、もしくは予め検知するようにしていた動作が発生した時に、アラートや通知が出されて、それに対して対応するのが一般的です。例えば、24時間リアルタイムで従業員一人一人のPC操作ログ、メールの送信履歴、Web閲覧履歴を監視しなければならないということはありません。
また、PC操作ログの監視・管理ソフトによっては、操作する側=従業員側に誤った操作のタイミングでアラートを出すことも可能なタイプもあり、誤った操作をする前に防ぐ仕組みによって、うっかりミスやヒューマンエラーの低減が期待できます。
ログ監視を未導入の場合のリスク・脅威
次にログ監視を未導入の場合のリスク・脅威について解説します。
サイバー攻撃や内部不正を検知・原因の特定ができない
ログ監視が未導入の場合、サイバー攻撃や内部不正を検知できなかったり、原因の特定ができなかったりすることがあります。どちらもセキュリティ性を確保している場合でも検知や特定が困難である可能性もあるため、ログ監視が未導入であれば被害に遭っても気が付くことができず、被害に気付いたとしても原因を特定できないという最悪の状況に陥ります。
内部不正に関する抑止力がほぼゼロに等しい
ログ監視が未導入の場合、内部不正に関する抑止力がほぼゼロに等しくなってしまいます。監視されていないことを理由に機密情報を持ち出されたり、個人情報を悪用されたりと悪意のある内部の人間にやりたい放題されてしまうということです。もちろん、ログ監視以外にアクセス制限やファイル操作の権限割り当てなどで直接的にファイルにアクセスしにくい状況は実現可能ですが、アクセスする権限を持つ人が悪意を持った場合、誰にも止めることはできなくなってしまいます。
デバイスやネットワークの私物化を食い止められない
ログ監視が未導入の時点で、デバイスやネットワークの私物化を食い止められなくなります。Web閲覧も好き勝手し放題、SNSや動画の視聴をしていてもバレない環境になってしまうことで、結果としてサボッている人が増殖されてしまうということです。その他にもデバイスを私物化されてしまうことで、業務に関係のないソフトウェアをインストールされたり、私用でインターネットを閲覧し、その上でマルウェアに感染してしまうようなことも考えられます。
最低限監視対象とすべきログ
次に最低限監視対象とすべきログについて解説します。
パソコン/PC操作に関するログ
パソコン/PC操作に関するログとは、業務プロセスや作業の流れでPC操作する際のキーボード、マウスによる操作のログを指します。キーボードとマウスの操作とデバイスの使用者やネットワークへのログインアカウントとの情報が組み合わさることで、誰が、いつ、何を、どのようにしたという情報がログとして蓄積されます。不正な操作や普段の業務で使わない動作などを検知する設定をしておくだけで、不正操作禁止や警告を従業員と管理する側に通知したり、特定の操作自体を抑止することが可能です。
必要に応じてPC操作ログの取得だけでなく、不正な操作を検知した時点で画面操作そのものを録画する「画面操作録画」が可能だと、さらに具体的にどのように操作したか把握しやすくなります。
メールの送信履歴に関するログ
メールの送信履歴に関するログも取得、監視すべきです。メールのタイトルや本文の内容そのものに情報漏えいとなる部分はないか、または送信した添付ファイルの実体を取得し、同じく情報漏えいがないかをチェックできるようになります。特に添付ファイルの実体の取得は情報漏えいした際の明確な証拠となるため、実体そのものを取得できるのは強みになります。
また、メールの送信履歴に関してはアメリカでは上場企業であれば3年間保存義務があり、アメリカに準じて日本もそのうち対応することを考えると、今のうちにログを取得・監視・管理する体制を整えておくほうが、現時点におけるセキュリティ性を確保しながら、将来的にも役立つと言えます。
Web閲覧履歴に関するログとWebフィルタリング
Web閲覧履歴に関するログも取得、監視すべきログです。ただし、Web閲覧に関しては、事前にWebフィルタリングでアクセスできない、させないようにすることも重要であるため、Web閲覧履歴に関するログを取得とともにWebフィルタリングも導入すると良いでしょう。
Webフィルタリングといっても、業務や作業に必要なサイト、または安全性が確認されているサイトの閲覧は可能であり、業務上支障が出ないよう調整できます。Web閲覧履歴に関するログと組み合わせることで、フィルタリングから漏れた悪質なサイトへのアクセスを検知したり、業務中に閲覧するには相応しくないサイトのログを発見したりすることが可能となり、必要に応じてフィルタを追加していくことで、より精度の高いフィルタリングが可能になります。
まとめ:ログの監視で安全性と透明性の両立できる環境を構築しよう!
今回はログ監視に関するありがちな誤解や勘違い、ログ監視を未導入の場合のリスク・脅威、そして最低限監視対象とすべきログについてお話しました。ログの監視については不要なリスク・脅威・被害から企業や組織、そして属する従業員を守るためにあります。安易に監視によって見張られるのが嫌という気持ちを持つのではなく、内部不正への抑止力、サイバー攻撃の検知や原因の特定などセキュリティ対策のためであると理解して、ログ監視の仕組みが未導入であれば必ず導入しましょう。
当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、最低限監視すべきログの取得や監視・管理が可能となります。文中でもお話した、不正な操作を検知した時点で画面操作録画することも可能ですので、ぜひともこの機会にご相談、お問い合わせください。