アドバイザー佐野:では、情報の取り扱いと企業が行なうべき対策、そして監査の関係について、かいつまんで説明していきましょう。さっそくですが豆アド君、情報漏えいはどうして発生するのだと思いますか?
豆アド:うーん、世の中悪人だらけだからですか?
アドバイザー佐野:い、いや、そこまで生きにくい世の中じゃないと思うけど(汗)。プチアド君は?
プチアド:ええと、ニュースで見る情報漏えい事件は、悪意のある第三者が外部から侵入してというよりも、ごく普通のユーザーによる内側からの情報漏えいのほうが圧倒的に多いですよね。ごく普通のユーザーということは、わざと漏えいさせているわけではないのだから、情報の保管や取り扱い方にも不備がある、ということではないでしょうか。
アドバイザー佐野:そのとおりです。そこで、情報を安全に取り扱うために、してもよいこと/悪いこと、利用してよい人/悪い人といった区別や管理が必要になってきます。いわゆる情報マネジメントやセキュリティポリシーの策定ですね。
豆アド:Active Directoryでの一括管理や、共有フォルダへのアクセス権設定なんかですよね。
アドバイザー佐野:はい。ところが、実際の運用環境は机上で想定したものよりもずっと複雑です。システムを使い続けていくうちに、利用する人々の思惑や組織変更によって、当初想像すらしていなかった問題が発生するかもしれません。RD社だって、以前、USBメモリによる情報漏えいの危機が発生したことありますよね?
プチアド:そうなんです。なのでセキュリティ対策委員会は、そういった「問題点」を早期に発見し、どんどん改善するために設置――あっ、もしかして、システムを監査することで誰が何をやっているのかを定期的にチェックしていれば、問題点も発見しやすいということか!
アドバイザー佐野:Yes! たとえば、今回取り上げる「監査ログ」は、誰が、いつ、どのコンピュータからリソースへアクセスしたかの痕跡を記録することで、不正アクセスの発見、追跡、予測を行なうことができます。つまり、問題が発生したときの犯人探しはもちろん、この監査ログを定期的にチェックすることで、問題が起こりそうなリソースを特定し、今後の情報マネジメントに役立てることができるのです。
プチアド:「誰がどこで何をしたか、記録に残しています!」って言われたら、アクセスする側もデータの取り扱いには気をつけるようになるから、不正アクセスを抑止する効果もありますね。
アドバイザー佐野:はい。それにRD社は「何か重大なコト」、特に社会的な事件・事故に巻き込まれた場合に、自分たちがどのような情報マネジメントを実施していたのか、いつでも(特に司法の場などで)対外的に説明・証明できなければなりません。監査ログは「説明責任を果たす」という意味においても、重要な役割を持つのです。
豆アド:ほえぇぇ、監査って法律的にも重要なんだ!
アドバイザー佐野:そうそう、法律といえば、2008年に施行予定の、いわゆるJ-SOX法(日本版サーベンス・オクスリー法)も忘れてはいけません。これは、内部統制に関する法律で、施行されれば作業工程の記録や定期的評価、つまり監査ログの取得が必須になってきます。今できることから検討・着手しておけば、実際に施行される際に、大慌てしなくてすみますね。
 |  |
|---|
 |
||||
 |
 |
 |
|
 |
 |
||||
佐野 央のプチ管理者は本日も大忙し
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】