ログ管理とは?管理する意味や目的の紹介から、必要性と重要性を解説

logmanagement_main.webp

私たちが業務で利用しているPC端末からは、日々あらゆるログ情報が出力されています。

近年、セキュリティ対策労務管理の一環としてログ情報の活用を目指す組織が増えてきました。しかし、ログは単に取得すればよいというものではありません。適切な管理・運用をおこなうことで、はじめて組織運営に役立つ強力な武器となります。

今回は、ログ管理の意味や目的、実践的な活用方法について解説します。IT担当者の方にとって役立つ内容となっておりますので、ぜひ最後までご覧ください。

関連特集

ログ管理とは

ss1-log_management_01.png

ログ管理とは、組織内にあるPC/サーバー/ネットワーク機器/ソフトウェアなどから出力される履歴データを取得し、目的を持って監視・分析することを指します。

以前までは組織が保有している情報資産からのログデータを主な対象としていましたが、クラウドストレージをはじめとしたクラウドサービスの利用が拡大した昨今では、外部サービスの利用ログまで管理対象とするケースが増えているようです。

ログとは

そもそも「ログ」とは何なのか、もう少しだけ深堀していきます。

「ログ」とは、機器やソフトウェアといったシステムについて、その起動/停止、障害の発生、利用者による操作など、稼働中に生じたあらゆる履歴を時系列で記録したものです。

ログを適切に管理していれば、異常があった場合に痕跡をさかのぼって監査できるようになります。そのほかにも、取得するログの種類によっては実に多様な活用方法が存在します。

ログの分類

ログを活用するためには、各ログの種類や特性をきちんと理解しておかなければなりません。
例えば、組織内のIT機器から取得できるログには以下のようなものが存在します。

■組織で取得できるログの一例
操作ログPCがどのように使われているかを把握できるログ。ファイルの編集/保存/コピーやログオン/ログオフ、フォルダへのアクセス、USBメモリといったデバイスの着脱などの各種操作履歴。
SS1「PC操作ログ」機能
デバイス使用ログUSBメモリやCD-ROMなどの記録デバイスや、スマートフォン、デジタルカメラなどをPCへ接続した際の履歴。デバイスに対するファイルの書き出し/読み込みなど。Wi-FiやBluetoothなどネットワークデバイスの接続状況の履歴も含む。
SS1「デバイス制限管理」機能
ソフトウェア使用ログPCにインストールされているソフトウェアの使用履歴や実行ファイル(exe)の起動履歴など。どのようなソフトウェアを、どのぐらいの時間使用したのかなどを把握できる。
SS1「ソフトウェア管理」機能
Webサイト閲覧ログPCを使って閲覧したWebサイトの訪問履歴。チャットやオンラインストレージ、SNSといったWebサービスの利用を確認できる。
SS1「Web閲覧ログ・閲覧禁止設定」機能
メール送受信ログメーラーを用いて送受信したメールの内容履歴。送信先/送信元/CC/BCC/本文/添付ファイルなど。最近ではGmailやMicrosoft 365などWebメールの利用ログも対象となっている。
SS1「電子メール送受信ログ」機能
印刷ログプリンタを利用した印刷/スキャンなどの履歴。印刷をリクエストしたPC/ドキュメント名/枚数などを取得する。
SS1「印刷ログ」機能
サーバーログサーバーでのファイル操作のほか、ドメイン操作(各種アカウントの作成/変更/削除、ドメインへのログオン)やアクセス、プロセスといったイベントの履歴。
SS1「サーバーログ」機能

このほかにも、ネットワーク機器で取得できるデータ通信履歴や、オフィスの入退室履歴、防犯カメラの履歴など、組織では毎日さまざまなログが発生しています。

なぜログ管理が必要なのか

0c08962518bed584d560b879c86eaaaacd5bcd94.png

日々膨大な量が出力されているログデータですが、なぜ取得するだけではなく「管理」をしなければならないのでしょうか。

実は2000年代初頭まで、システムログの使い道といえば、システムの動作確認やエラー時の原因究明などが主でした。当時は取得したログに対して特別な分析をおこなうこともあまりなく、現在のようにさまざまな用途で活用することはなかったようです。

しかしいまでは、以下のような理由からログ管理の重要性が大きな注目を浴びるようになっています。

サイバー攻撃に対応するため

2017年以降に世界中で猛威を振るっているランサムウェアなど、組織を狙ったサイバー攻撃は複雑・巧妙化の一途を辿っています。よって、これまでの境界防御的な発想によるウイルス対策はもはや不十分であり、現在ではウイルスの侵入を前提とした対策をおこなうことが推奨されています。

関連記事

そこで役に立つのがログ情報です。平常時のログをきちんと取得・監視しておけば、万が一の際にいち早く異常を検知でき、問題へ迅速に対処できるようになります。また、感染が発覚した場合にはログを分析することで感染経路被害範囲の特定も可能です。

こういった活用方法が確立したことによって、ログ管理は昨今のセキュリティ対策において非常に重要な意味を持つようになりました。

関連記事

新しい働き方に対応するため

コロナ禍以降、テレワークなどにより従業員が社外で業務を遂行することが一般的になりました。実は、こういった新しい働き方の労務管理にも活用できるとして、最近新たな側面でログ管理の必要性が高まっています。

例えば、厚生労働省が公開している「テレワークの適切な導入及び実施の推進のためのガイドライン」では、テレワーク時の労働時間を把握する方法として「PC使用時間ログ」の活用が推奨されています。

ガイドラインのスクリーンショット (「(事業主、企業の労務担当者の方へ)テレワークガイドラインを改定しました」PDF P.4より一部抜粋)

参考

普及が進んでいるハイブリッドワーク環境下では、在宅勤務時の健全な働き方を守るために、ログの適切な管理・運用が求められているのです。

ログ管理の目的とメリット

ss1-log_management_03.png

前述の通り、ログ管理は「セキュリティ対策」において重要な意味を持ちます。しかし一口に「セキュリティ対策」といっても、目的によってログの活用方法や得られる効果はさまざまです。
具体的に、ログ管理には3つの目的が存在します。

ログ管理の目的3つ
・情報資産の保護
・内部統制
・デジタルフォレンジック

情報資産の保護

ログ管理をおこなう大きな目的の一つとして、組織で保有する情報資産の保護が挙げられます。

ログを管理することで、情報資産の稼働状況が可視化されるため、従業員のミスや不正による情報漏洩が発覚した場合はすぐに把握できるようになります。
また、「ログを取得している」と周知するだけでも、情報持ち出し行為に対する抑止力となるでしょう。

このように、ログは情報漏洩対策として非常に有効な手段となるため、適切な管理をおこなうことで組織のセキュリティ強化に役立てられます。

関連記事

内部統制

ログ管理は、組織の内部統制をおこなううえでも必要不可欠です。

内部統制には、業務上のミスや不法/不正行為を防止するための管理体制を整えるという目的があります。その内部統制がきちんとおこなわれているかを評価する「システム監査」において、ログは監査結果に対する根拠(監査証跡)として活用されています。

「いつ」「どこで」「だれが」「なにをしたのか」をログによって把握し、それらの情報を組織内の規程や作業指示書などと見比べることで、IT機器がルール通り正しく取り扱われているのかをチェックするのです。

上場企業ではログ管理が必須

ちなみに上場企業および上場準備企業では、ログ管理の実施がほぼ必須となります。

上場企業は、金融商品取引法によって内部統制の報告が義務付けられています(J-SOX:内部統制報告制度)。
この報告書を提出するためには当然システム監査が必要になるため、監査結果に対する証左として監査ログの提出は避けて通れません。

上場準備企業においても、IPO(上場)審査の際には実体の伴った内部統制体制が強く求められます。当然、内部統制の実現には監査体制の整備が不可欠となるため、ログ管理体制の構築はIPO(上場)審査では実質の必須項目となっています。

デジタルフォレンジック

ログ管理は、デジタルフォレンジックへ対応するためにも必要とされます。
デジタルフォレンジックとは、サイバー犯罪の証拠としてログを収集・分析する調査手段の総称です。

ウイルス感染や不正アクセスなどのサイバー攻撃、従業員による情報漏洩などの内部不正事件が発生した場合、フォレンジック調査によって被害状況の確認や原因究明がおこなわれます。ここで得られたログデータは犯罪の証拠として扱われ、実際の裁判においても重要な役割を果たします。

当たり前ですが、ログ管理をおこなっていなければそもそもフォレンジック調査をおこなうことすらできません。そういった意味で、デジタルフォレンジックを実施できる体制を整えることは、ログ管理をおこなう目的の一つといえるでしょう。

ログ管理の注意点

yukoukatuyou_top.png

このように、ログ管理は組織運営において欠かせないものです。しかし、管理にあたってはいくつかの注意点があります。

完璧なセキュリティ対策ではない

ログ管理はセキュリティ対策に役立つものの、それそのものが原因に対処できるわけではありません。
あくまでも事象が発生した後の調査に有用であったり、不正行為がおこなわれていないことの証拠になったりするのみであるため、脅威に対する防御策は別途検討する必要があります。

ただし、前述の通り異常を検知することには役立ちます。こういった検知機能と組み合わせる形で、他ソリューションとの連携を検討するとよいでしょう。

ログの取得範囲と保管場所

組織内のあらゆるログを見境なく取得し続けていると、ログ爆発を起こす危険があります。

ログを取得する際には、ログ取得の目的を定めたうえで、必要な分のみ取得するように範囲を限定させるとよいでしょう。ログ取得の条件として、例えばログインに失敗したとき・特定のファイルが取り扱われたときのみなど、重要なインシデントにつながりかねない操作のみを対象とするなどが挙げられます。

また、ログが保管される場所についても注意が必要です。ログ監査では複数のログを突き合わせてチェックをおこなうこともあります。その際ログの保管場所が組織内で分散されていると、チェック作業に膨大な工数を要してしまいます。

よって、ログ管理をおこなう場合は複数のログをまとめて管理できる体制を整えることをおすすめします。

ログ管理システムの機能

ログ管理では、目的を達成するために必要な量の情報を、活用できる形で保管しておくことが大切です。しかし、これらを手作業でおこなうのはなかなか現実的ではありません。

そこで活用していきたいのが「ログ管理システム」です。専用のシステムを利用することで、組織内のログを自動で収集し、活用しやすい形式で一元管理できるようになります。
ログ管理システムに搭載されている主要な機能は以下の通りです。

ログの取得

SS1のPC操作ログ画面(ログ取得画面の例)

ログ管理システムを導入することで、組織内のIT機器から出力されるさまざまなログを取得できるようになります。タイムスタンプとともに各操作の詳細を把握できるため、他システムと時刻を合わせておけば、のちの監査でログ追跡をおこなう際にもデータを活用しやすくなります。

ちなみにシステム導入の際には、ログを取得したい機器にきちんと対応しているかを事前に確認しておきましょう。システムによっては、特定のOSや機器種別(PC、スマホ、サーバーなど)に未対応のものもありますので注意が必要です。

ログの保存

ログ管理システムでは、収集したログをシステム専用のサーバーに収集・保管します。よって、ユーザー側から不正にログを削除・改ざんされるリスクを低減でき、ログの完全性を担保することにつなげられます。

また、システムによってはログの長期保存も可能です。監査基準などでログの保存期間が定められている場合には、ログ管理システムによってログを安全な状態で保存し続けられることは大きなメリットになります。

ログの監視

ログ管理システムによって、定量的な判断によるログ監視もおこなえます。アラートを通知するユーザーの行動やしきい値をあらかじめ設定しておくことで、異常の早期発見や、問題に対する迅速な対応が可能になります。

また、システムによって自動的に異常を検知するため、常に一定のクオリティで監査がおこなえるというのも嬉しいポイントです。手作業でのログ監査は、監査する人間の熟練度によって問題を見落としてしまう可能性があります。

システムを導入することで、そういった属人的な対応から脱却でき、組織のセキュリティ体制強化に役立てられます。

ログの分析

SS1ポリシー遵守レポート画面(ポリシー遵守レポートの例)

ログ管理システムを利用すれば、収集した複数のログを集約し、目的に合った形で分析できます。
日別・月別で異常なログ件数を把握したり、あらかじめ定めておいたポリシーに違反したユーザーを確認したりすることで、組織のセキュリティ状況を俯瞰して確認可能です。

ちなみに、ログ管理システムによっては勤怠システムとの連携が可能なものも存在します。

SS1タイムカードとPC稼働状況比較レポート(タイムカード情報(緑)とPC稼働ログ(桃)の突合レポート例)

ログ管理システムで把握したPCのログオン・ログオフ状況と、勤怠システムから取り込んだタイムカード情報を比較することで、実際の勤務状況を確認できるようになります。

その際、システム上のレポート機能を使うと、タイムカード情報との乖離がよりわかりやすく可視化されます。このように人の目で見て理解しやすい形に情報を成型できるのも、ログ管理システムならではの機能です。

参考

ログ管理システムのメリット

ログ管理システムを導入することで、ログ管理におけるさまざまな課題を解決できるようになります。

ログを一元管理できる

「ログの分類」章でご紹介した通り、組織内で出力されるログにはいろいろな種類が存在します。しかしそれらは別々の場所で発生するものであるため、手作業でログを管理する場合は逐一情報を収集・突合しなければなりません。

ログ管理システムを導入していれば、異なる種類のログを一つのシステム上で管理し、横断的に検索・分析をおこなうことが可能です。内部不正による情報漏洩やウイルス感染が疑われた場合にも、複数のログ情報を一括で確認することで、いち早く流出元や原因を特定できます。

ログ横断検索画面

監査対応を効率的におこなえる

多くのログ管理システムには、ログの収集機能だけでなく出力機能も搭載されています。
ログ管理システムの出力機能を使うことで、情報を見やすい形でアウトプットできるため、システム監査などで監査ログ情報を資料として添付したい場合などに有用です。

それだけでなく、ログデータを自由に取り出せれば他の業務システムとの連携も容易になります。さまざまな場面でより一層ログデータを利用できるようになるため、ログ管理システムを導入することは、ログ活用の幅を広げることにもつながります。

情報資産を管理しやすくなる

ログ情報を効率的に取得することで、情報資産の保護状態を正しく把握できるようになります。

また、利用中の端末で何らかのトラブルがあった場合、端末ごとのログ情報を取得していれば、トラブル原因の特定にも役立ちます。
組織内でヘルプデスク業務をおこなっている担当者の業務負担軽減につながるため、ログ管理システムは情報資産の健全な運用にも貢献できるのです。

SS1差異情報画面(機器内の構成情報の変更履歴を取得することで、トラブル前後の差異を確認可能)

まとめ

ログ管理の目的や必要性、活用方法について紹介しました。
ログ管理システムの導入を検討する場合、ログ管理だけでなくIT資産管理機能まで網羅した IT資産管理ツール「SS1」リンクアイコンや、SS1クラウドリンクアイコンがおすすめです。

blogimg_ss1.webp

ログ管理に特化した製品に比べ、Windows OSのパッチ管理機能やリモートコントロール機能などさまざまな機能を幅広く搭載しているため、IT運用業務全般にお役立ていただけます。
もちろん、取得できるログの種類も豊富です。本記事内で掲載しているログ管理システムの事例画像は、すべてSS1の機能から抜粋しています。

SS1/SS1クラウドのログ管理機能に関する詳細は、下記のページもご参照ください。

参考

著者プロフィール
SS1LAB編集部
IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!