- 更新日 : 2025年3月27日
内部統制におけるログ管理の重要性とは|ログ管理の課題やポイントを解説
内部統制では、整備しなければならない多くのポイントがあります。そのなかでも特に重要なのが、ログ管理です。
では、なぜログ管理が重要なのでしょうか。この記事では、内部管理におけるログ管理の重要性と問題点を挙げて解説します。さらに、ログ管理でのポイントも紹介しますので、ぜひ参考にしてみてください。
目次
内部統制とは
そもそも内部統制とは、企業の事業目的や経営目標、方針を達成するためのルールや仕組みを整備し、それを有効的に運用することです。内部統制の目的には、以下の4つがあります。
内部統制の目的
- 業務の有効性・効率性を向上させる
- 財務報告の信頼性を高める
- 事業にかかわる法令などを遵守する
- 資産を適切に管理する
各目的など、内部統制の詳細について詳しく知りたい方は、以下のページも参考にしてみてください。
また、マネーフォワード クラウドでは内部統制においてやることをリスト化した資料「やることリスト付き!内部統制構築ガイド」を提供しているので、ぜひ活用してみましょう。
内部統制におけるログ管理の重要性
内部統制の整備で重要な基本的要素のひとつである「モニタリング」を行うには、ログ管理が必要不可欠です。
そもそもログとは、パソコンなどの機器に記録される行動履歴のこと。ログを管理するためには、ログ管理システムといったITシステムを用いる必要があります。
ログ管理システムとは、「誰が」「いつ」「どのような操作を行なったか」を記録するシステムです。担当者にIDを付与し、IDを使ってログインすることで、一人ひとりの行動履歴を記録することができます。ログ管理を行うメリットとして、主に以下の3つの理由が挙げられます。
- 情報資産を管理しやすくなる
- 個人情報の保護につながる
- 解析することでマーケティングの改善にもつながる
情報漏洩の原因は多くが従業員のミスや不正によるものです。ログ管理することで、不正しにくい環境を作り、仮に情報漏洩が起こってしまったとしても、迅速に原因究明できます。ITの発展により、求められる内部統制の基準も徐々に高くなっていきています。内部統制の目的の一つ「資産を管理する」には情報資産も含まれているため、ログ管理により内部統制の整備にも役立つのがメリットです。
また、自社で運営しているWebサイトで行われるログ管理を利用すれば、アクセス解析によりマーケティングを改善することもできます。「誰が」「いつ」「どのページに」「どれくらいの時間滞在したか」など、ログ管理で得られる情報はたくさんあります。
内部統制のためのログ管理の問題点
内部統制におけるログ管理には、前述のとおり多くのメリットがあります。しかし一方で、内部統制のためのログ管理には下記の問題点も挙げられます。
ログ管理の問題点
- 分散されている
- 統計が難しい
- 保全・保管が必要
- 改竄のリスクがある
それぞれの問題点について、何が問題なのか、また改善方法はあるのか詳しく見ていきましょう。
分散されている
ログ管理することで、情報資産を管理しやすくなるメリットはありますが、一方でその情報はシステムごとに分散されています。システムによってログの確認方法や種類、特性が異なるため、必要なログを見つける手間がかかります。
分散されているログを管理するには、ログ管理のマニュアル作成が有効です。必要になってからログを探すのは時間がかかるため、日頃からどこにどんなログがあるのか、管理しておきましょう。
統計が難しい
統計が難しいことも、ログ管理における問題点です。前述したとおり、ログはシステムごとに分散されているため、統計処理も難しくなります。そもそもログの統計は、内部統計が適切に、効率よく運用されているかを数字で表すときに必要です。統計が難しいことで、内部統計の評価がうまくできない可能性があります。
ログの統計を取るのが難しい場合、ログ管理システムにより一元化し、集計して統計を取ることも可能です。手動で必要なログを集め、統計を取ると間違いが発生しやすいものですが、統計システムを活用すればボタン一つで統計処理できます。
保全・保管が必要
ログは事業の効率化やマーケティングの改善など、多くの場面で役立つ情報です。しかし一方で、流出した場合は企業イメージの低下や損失につながることも理解しておくべきでしょう。
そのため収集したログは、適切な方法で保全・保管する必要があります。ログの保全・保管がなされていない場合、情報漏洩のリスクが高まります。ログを適切に保全・保管するには、アクセス権の付与を制限したり、使われていないアカウントを棚卸ししたりするとよいでしょう。
改竄のリスクがある
ログ管理の問題点として、改竄リスクも考えておかなければなりません。収集したログが正当なものではなく、証拠隠滅のために改竄されたものである可能性も視野に入れておく必要があるでしょう。改竄は内部の問題だけではなく、外部からの不正アクセスなどが原因となるケースもあります。
ログの改竄を防ぐためには、まずはログへの不正アクセスを防ぐことです。ログの保管は記録対象のサーバではなく、別のサーバを利用するなど別の場所に保管しておくことで、不正アクセスによる改竄の可能性を減らすことができます。
内部統制のためのログ管理のポイント
内部統制のためには、ログをただ収集すれば良いわけではありません。ここでは、内部統制においてどのようにログ管理をすることが重要かを解説します。
必要な情報を含んでいるか確認する
内部統制のためのログ管理では、収集したログに必要な情報が含まれているかどうかが重要です。たとえば、ログを保存していたとしても、不要なログばかりでは活用できません。では、ログに含まれている必要がある情報とはどのようなものでしょうか。必要な情報を以下にまとめました。
ログに必要な情報
- 実行者
- 対象
- 実行時間
- 実行場所
- 実行内容
いわゆる4W1H(Wat・Who・When・Where・How)が重要で、上記の情報が含まれているログは信頼度が高く価値があり、内部統制に活用できます。
改竄されていないことを証明する
内部統制のためのログ管理では、収集したログが正当なものであることを示せるかどうかが重要です。前述のように必要な情報を含んでいたとしても、改竄されたものであれば意味がありません。
ログの信頼性を証明するためには、リアルタイムにログを収集すること、そして収集したログを別の場所(サーバ)に保管するログ管理システムを活用するのが有効です。生のログを保管できていれば、比較対象となるためログが改竄されていないか確かめることができます。
1年以上の保存期間を設ける
内部統制では、収集したログは長期間保存しておく必要があります。日本セキュリティ監査協会の「サイバーセキュリティ対策マネジメントガイドライン」によると、ログの適切な保管について、以下のように記載されています。
引用:特定非営利活動法人日本セキュリティ監査協会「サイバーセキュリティ対策マネジメントガイドラインVer2.0」
つまり、万が一のあったときに備え、遡れるログをできるだけ多く残しておく必要があります。しかしログの保管には膨大な容量を必要とするため、保存期間として少なくとも1年分のログは残しておいたほうがよいということです。
まとめ
ログの活用は難しいこともありますが、内部統制において、ログ管理はリスクへの対応やモニタリング、ITへの対応に必要不可欠です。ログ管理をする際は、必要な情報を含んでいるか、改竄されていないと証明できるかが重要なポイントとなります。また、ログ管理では1年以上の長期保存が必要です。内部統制を整備するにあたり、ログ管理の重要性もきちんと理解したうえで、適切にログ管理の方法を考え、整備しましょう。
当社が提供する「マネーフォワード クラウドERP」は、一つの機能から段階的に導入できるクラウド型のERPシステムです。財務会計や人事管理など、企業のバックオフィス業務全体をカバーする機能を備えています。ログ管理ができる機能もご用意しておりますので、内部統制の強化にお悩みの企業様はぜひお気軽にご相談ください。
よくある質問
内部統制でログ管理が必要な理由は?
内部統制でログ管理が必要な理由は、以下の3つです。
- 情報資産を管理しやすくなる
- 個人情報の保護につながる
- 解析することでマーケティングの改善につながる
内部統制のためのログ管理で気をつけることは?
内部統制のためのログ管理では、必要な情報が含まれているか、改竄されていないか注意します。せっかくログを残していても、必要な情報が含まれていなかったり、改竄されていたりしては意味がありません。ログ管理する際は、リアルタイムのログを別のサーバに長期間保存する必要があります。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
ISMSの維持審査とは?更新審査・初回審査との違いや内容、期間、費用などを解説
情報セキュリティ対策が企業経営の重要課題となる現在、ISMS(情報セキュリティマネジメントシステム)/ ISO 27001認証は、組織の信頼性を高め、事業リスクを低減するための有効な手段です。しかし、情報セキュリティレベルを継続的に向上させ…
詳しくみる経理の内部統制はなぜ必要?メリットやデメリットについて解説
昨今はニュースで企業の横領や、隠蔽、会計不正などが報道され、多くの企業で経理による内部統制の強化を進める傾向にあります。 しかし、内部統制はどこまでやればいいのか、導入するにはどうすればいいのかわからないという経理担当者も多いのではないでし…
詳しくみる指名委員会等設置会社とは?各委員会の権限やメリット・デメリットを解説
指名委員会等設置会社とは、指名委員会や監査委員会、および報酬委員会を設置する組織形態です。業務執行と経営監督が分離している点が特徴であり、委員の過半数を社外の取締役とする必要があります。 コーポレートガバナンスの強化につながるというメリット…
詳しくみる内部通報制度に弁護士を起用するメリットとは?費用や選定のポイントを解説
内部通報制度(社内通報制度)において、弁護士を外部の相談・通報窓口として活用する企業が増えています。IPOを目指す企業やコンプライアンス意識の高い企業では、改正公益通報者保護法(2022年施行)への対応も踏まえ、弁護士の活用による内部通報制…
詳しくみる徹底解説!コーポレートガバナンスと内部統制の違いとは?
コーポレートガバナンスと内部統制は混同されやすく、違いを明確に説明できる人は多くありません。両者の違いは以下の通りです。 コーポレートガバナンス:主に経営者の不正を防ぐための仕組み 内部統制:主に経営者が従業員などの不正を防ぐための仕組み …
詳しくみる内部統制システムを整備するメリットは?内容やポイントを説明
内部統制システムの整備は一部の企業で義務化されています。義務の対象になっていない企業も整備が可能で、いくつかのメリットを享受できるでしょう。ただし、内部統制システム整備にはいくつかの注意点があり、整備前から時間を掛けて取り組まなければならな…
詳しくみる