- 更新日 : 2025年3月27日
内部統制におけるログ管理の重要性とは|ログ管理の課題やポイントを解説
内部統制では、整備しなければならない多くのポイントがあります。そのなかでも特に重要なのが、ログ管理です。
では、なぜログ管理が重要なのでしょうか。この記事では、内部管理におけるログ管理の重要性と問題点を挙げて解説します。さらに、ログ管理でのポイントも紹介しますので、ぜひ参考にしてみてください。
目次
内部統制とは
そもそも内部統制とは、企業の事業目的や経営目標、方針を達成するためのルールや仕組みを整備し、それを有効的に運用することです。内部統制の目的には、以下の4つがあります。
内部統制の目的
- 業務の有効性・効率性を向上させる
- 財務報告の信頼性を高める
- 事業にかかわる法令などを遵守する
- 資産を適切に管理する
各目的など、内部統制の詳細について詳しく知りたい方は、以下のページも参考にしてみてください。
また、マネーフォワード クラウドでは内部統制においてやることをリスト化した資料「やることリスト付き!内部統制構築ガイド」を提供しているので、ぜひ活用してみましょう。
内部統制におけるログ管理の重要性
内部統制の整備で重要な基本的要素のひとつである「モニタリング」を行うには、ログ管理が必要不可欠です。
そもそもログとは、パソコンなどの機器に記録される行動履歴のこと。ログを管理するためには、ログ管理システムといったITシステムを用いる必要があります。
ログ管理システムとは、「誰が」「いつ」「どのような操作を行なったか」を記録するシステムです。担当者にIDを付与し、IDを使ってログインすることで、一人ひとりの行動履歴を記録することができます。ログ管理を行うメリットとして、主に以下の3つの理由が挙げられます。
- 情報資産を管理しやすくなる
- 個人情報の保護につながる
- 解析することでマーケティングの改善にもつながる
情報漏洩の原因は多くが従業員のミスや不正によるものです。ログ管理することで、不正しにくい環境を作り、仮に情報漏洩が起こってしまったとしても、迅速に原因究明できます。ITの発展により、求められる内部統制の基準も徐々に高くなっていきています。内部統制の目的の一つ「資産を管理する」には情報資産も含まれているため、ログ管理により内部統制の整備にも役立つのがメリットです。
また、自社で運営しているWebサイトで行われるログ管理を利用すれば、アクセス解析によりマーケティングを改善することもできます。「誰が」「いつ」「どのページに」「どれくらいの時間滞在したか」など、ログ管理で得られる情報はたくさんあります。
内部統制のためのログ管理の問題点
内部統制におけるログ管理には、前述のとおり多くのメリットがあります。しかし一方で、内部統制のためのログ管理には下記の問題点も挙げられます。
ログ管理の問題点
- 分散されている
- 統計が難しい
- 保全・保管が必要
- 改竄のリスクがある
それぞれの問題点について、何が問題なのか、また改善方法はあるのか詳しく見ていきましょう。
分散されている
ログ管理することで、情報資産を管理しやすくなるメリットはありますが、一方でその情報はシステムごとに分散されています。システムによってログの確認方法や種類、特性が異なるため、必要なログを見つける手間がかかります。
分散されているログを管理するには、ログ管理のマニュアル作成が有効です。必要になってからログを探すのは時間がかかるため、日頃からどこにどんなログがあるのか、管理しておきましょう。
統計が難しい
統計が難しいことも、ログ管理における問題点です。前述したとおり、ログはシステムごとに分散されているため、統計処理も難しくなります。そもそもログの統計は、内部統計が適切に、効率よく運用されているかを数字で表すときに必要です。統計が難しいことで、内部統計の評価がうまくできない可能性があります。
ログの統計を取るのが難しい場合、ログ管理システムにより一元化し、集計して統計を取ることも可能です。手動で必要なログを集め、統計を取ると間違いが発生しやすいものですが、統計システムを活用すればボタン一つで統計処理できます。
保全・保管が必要
ログは事業の効率化やマーケティングの改善など、多くの場面で役立つ情報です。しかし一方で、流出した場合は企業イメージの低下や損失につながることも理解しておくべきでしょう。
そのため収集したログは、適切な方法で保全・保管する必要があります。ログの保全・保管がなされていない場合、情報漏洩のリスクが高まります。ログを適切に保全・保管するには、アクセス権の付与を制限したり、使われていないアカウントを棚卸ししたりするとよいでしょう。
改竄のリスクがある
ログ管理の問題点として、改竄リスクも考えておかなければなりません。収集したログが正当なものではなく、証拠隠滅のために改竄されたものである可能性も視野に入れておく必要があるでしょう。改竄は内部の問題だけではなく、外部からの不正アクセスなどが原因となるケースもあります。
ログの改竄を防ぐためには、まずはログへの不正アクセスを防ぐことです。ログの保管は記録対象のサーバではなく、別のサーバを利用するなど別の場所に保管しておくことで、不正アクセスによる改竄の可能性を減らすことができます。
内部統制のためのログ管理のポイント
内部統制のためには、ログをただ収集すれば良いわけではありません。ここでは、内部統制においてどのようにログ管理をすることが重要かを解説します。
必要な情報を含んでいるか確認する
内部統制のためのログ管理では、収集したログに必要な情報が含まれているかどうかが重要です。たとえば、ログを保存していたとしても、不要なログばかりでは活用できません。では、ログに含まれている必要がある情報とはどのようなものでしょうか。必要な情報を以下にまとめました。
ログに必要な情報
- 実行者
- 対象
- 実行時間
- 実行場所
- 実行内容
いわゆる4W1H(Wat・Who・When・Where・How)が重要で、上記の情報が含まれているログは信頼度が高く価値があり、内部統制に活用できます。
改竄されていないことを証明する
内部統制のためのログ管理では、収集したログが正当なものであることを示せるかどうかが重要です。前述のように必要な情報を含んでいたとしても、改竄されたものであれば意味がありません。
ログの信頼性を証明するためには、リアルタイムにログを収集すること、そして収集したログを別の場所(サーバ)に保管するログ管理システムを活用するのが有効です。生のログを保管できていれば、比較対象となるためログが改竄されていないか確かめることができます。
1年以上の保存期間を設ける
内部統制では、収集したログは長期間保存しておく必要があります。日本セキュリティ監査協会の「サイバーセキュリティ対策マネジメントガイドライン」によると、ログの適切な保管について、以下のように記載されています。
引用:特定非営利活動法人日本セキュリティ監査協会「サイバーセキュリティ対策マネジメントガイドラインVer2.0」
つまり、万が一のあったときに備え、遡れるログをできるだけ多く残しておく必要があります。しかしログの保管には膨大な容量を必要とするため、保存期間として少なくとも1年分のログは残しておいたほうがよいということです。
まとめ
ログの活用は難しいこともありますが、内部統制において、ログ管理はリスクへの対応やモニタリング、ITへの対応に必要不可欠です。ログ管理をする際は、必要な情報を含んでいるか、改竄されていないと証明できるかが重要なポイントとなります。また、ログ管理では1年以上の長期保存が必要です。内部統制を整備するにあたり、ログ管理の重要性もきちんと理解したうえで、適切にログ管理の方法を考え、整備しましょう。
当社が提供する「マネーフォワード クラウドERP」は、一つの機能から段階的に導入できるクラウド型のERPシステムです。財務会計や人事管理など、企業のバックオフィス業務全体をカバーする機能を備えています。ログ管理ができる機能もご用意しておりますので、内部統制の強化にお悩みの企業様はぜひお気軽にご相談ください。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
J-SOX 3点セット攻略ガイド
すべての上場企業が対象となるJ-SOX(内部統制報告制度)。
本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。
経理担当者向け!Chat GPTの活用アイデア・プロンプトまとめ12選
経理担当者がChat GPTをどのように活用できるか、主なアイデアを12選まとめた人気のガイドです。
プロンプトと出力内容も掲載しており、コピペで簡単に試すことも可能です。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
よくある質問
内部統制でログ管理が必要な理由は?
内部統制でログ管理が必要な理由は、以下の3つです。
- 情報資産を管理しやすくなる
- 個人情報の保護につながる
- 解析することでマーケティングの改善につながる
内部統制のためのログ管理で気をつけることは?
内部統制のためのログ管理では、必要な情報が含まれているか、改竄されていないか注意します。せっかくログを残していても、必要な情報が含まれていなかったり、改竄されていたりしては意味がありません。ログ管理する際は、リアルタイムのログを別のサーバに長期間保存する必要があります。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
コーポレートガバナンスとは?企業統治の意味や目的をわかりやすく解説
コーポレートガバナンスとは、企業経営において透明性や公正性を確保し、株主や利害関係者の権利を尊重するための取り組みです。最近では、企業の社会的責任や環境問題にも配慮するなど、多様な観点から重要性が高まっています。本記事では、コーポレートガバ…
詳しくみる上場企業の経理業務の特徴とは?非上場企業との違いや必要なスキルを紹介
経理担当者として上場企業に就・転職を考えるとき、やはり気になるのが具体的な業務内容や必要なスキルなどではないでしょうか。「経理」と言っても業務内容は多岐にわたります。上場企業には、非上場企業にはない業務もあります。 本記事では上場企業の経理…
詳しくみる遡及監査(そきゅうかんさ)とは?実施の目的や条件、問題点などを徹底解説
多くのベンチャー企業が目標とするIPOには約3年の準備期間が必要だといわれています。 IPO申請には上場申請直前期から2期分の監査証明が必要ですが、さまざまな事情で監査対象期の期首を過ぎても監査人と監査契約を締結できない場合があります。 こ…
詳しくみる上場企業における関連会社とは?上場審査の項目や整理する時期・方法を説明
自社の上場を予定している場合、関連会社の取り扱いに困ることがあるかもしれません。状況によっては、関連会社が上場審査に悪い影響を与える可能性があるためです。 この記事では、関連会社の定義や子会社との違い、関連会社がある場合の上場審査項目、関連…
詳しくみるIPOにおける法務の重要性や役割、業務内容を解説
不正会計などの問題が深刻化したことに伴い、IPOにおける法務の重要性が高まっています。 法務部門はIPOにおいて内部統制やリスクマネジメントなどの役割を担い、法務DDの実施やコンプライアンス体制の構築などを行います。本記事では、IPOにおけ…
詳しくみる脅威インテリジェンスでISMSを強化!基本から連携方法まで徹底解説
サイバー攻撃が高度化・巧妙化する現代において、ISMS(情報セキュリティマネジメントシステム)の重要性は増す一方です。しかし、形式的な運用だけでは十分な効果は得られません。そこで鍵となるのが「脅威インテリジェンス」の活用です。 この記事では…
詳しくみる