コラム

監査証跡を取得する方法の違い

企業の情報システムのセキュリティ対策、情報統制活動に必要不可欠な監査証跡。しかし、どのように記録を取得すればよいのでしょうか。
監査証跡は、問題が発生した時に不正な操作や違反、操作のミスが無かったかどうかを監査するための証跡です。基本的には抜けや漏れ、不足はない取得の方法を考えるのがより良いと言えます。
では、監査証跡を取得するにはどのような方法があるのでしょうか。

監査証跡を取得する3つの方法

監査証跡を取得するために用いられる方法には、主に3つの方法が挙げられます。

エージェント型
監査対象のコンピュータ実機へ、ログ取得や操作制御を行うエージェントをインストールして監査証跡を取得する方法です。
どのようなアクセス経路でもログ取得ができ、操作の制御も実現できるため漏れがなく、徹底した制御ができます。
ただ、業務で使用するコンピュータ実機へインストールするため、導入までには安定稼働するかどうか、負荷は高くならないかといった点を検証する必要があります。

エージェントレス型
OSの標準機能で用意されている様々なログを、監査証跡として捉えて活用する方法です。
別途コンピュータにインストールする製品は必要なく既存のログを活用します。
導入時の費用負担はありませんが、OS標準のログを使用するため、ログの生成漏れや操作ログの取得が出来ないなど、監査証跡として利用できる範囲には限界があります。

ゲートウェイ型
作業を行う端末と監査対象のコンピュータ間に、ゲートウェイとなる中間サーバを設けて、このサーバを経由する操作の記録を取得する方法です。
業務で使用する環境に何もインストールしなくてすむため、既存環境に大きな影響を与えずに導入する事が可能です。
しかし、ゲートウェイを経由しないアクセスや、監査対象のコンピュータを直接操作した場合などは、ログの取得範囲外になってしまいます。

監査証跡取得方法の選択

監査証跡を取得する方法には、どの方法にも一長一短がありますので、どの方法を選択したらよいのか、難しい判断を迫られます。
基本的な考え方としては、監査やセキュリティ方針などによって、取得方法を選択するのが良いでしょう。

例えば、「抜け漏れ、不足がないようにする事」を方針とするなら、エージェント方式を選択するべきです。
セキュリティや統制において、何かしらの抜け道があるとそれがまたリスクになってしまうため、「例外を設けないこと」は本来セキュリティの鉄則と言えます。

しかし、いかに抜けや漏れが無くなるとは言っても、できる限り本番環境に影響がない方が良いと考えるのが普通です。
WEEDSでは、本番環境への影響を極力なくしながらも、安定稼動するエージェント製品を開発し、抜け漏れ、不足が無い監査証跡の取得を実現しています。

セキュリティ投資には、抜けや漏れを残さず安定的に稼働できるシステムや対策を選択するようにしましょう。

ページトップへ戻る