- 更新日 : 2025年3月27日
内部統制におけるログ管理の重要性とは|ログ管理の課題やポイントを解説
内部統制では、整備しなければならない多くのポイントがあります。そのなかでも特に重要なのが、ログ管理です。
では、なぜログ管理が重要なのでしょうか。この記事では、内部管理におけるログ管理の重要性と問題点を挙げて解説します。さらに、ログ管理でのポイントも紹介しますので、ぜひ参考にしてみてください。
目次
内部統制とは
そもそも内部統制とは、企業の事業目的や経営目標、方針を達成するためのルールや仕組みを整備し、それを有効的に運用することです。内部統制の目的には、以下の4つがあります。
内部統制の目的
- 業務の有効性・効率性を向上させる
- 財務報告の信頼性を高める
- 事業にかかわる法令などを遵守する
- 資産を適切に管理する
各目的など、内部統制の詳細について詳しく知りたい方は、以下のページも参考にしてみてください。
また、マネーフォワード クラウドでは内部統制においてやることをリスト化した資料「やることリスト付き!内部統制構築ガイド」を提供しているので、ぜひ活用してみましょう。
内部統制におけるログ管理の重要性
内部統制の整備で重要な基本的要素のひとつである「モニタリング」を行うには、ログ管理が必要不可欠です。
そもそもログとは、パソコンなどの機器に記録される行動履歴のこと。ログを管理するためには、ログ管理システムといったITシステムを用いる必要があります。
ログ管理システムとは、「誰が」「いつ」「どのような操作を行なったか」を記録するシステムです。担当者にIDを付与し、IDを使ってログインすることで、一人ひとりの行動履歴を記録することができます。ログ管理を行うメリットとして、主に以下の3つの理由が挙げられます。
- 情報資産を管理しやすくなる
- 個人情報の保護につながる
- 解析することでマーケティングの改善にもつながる
情報漏洩の原因は多くが従業員のミスや不正によるものです。ログ管理することで、不正しにくい環境を作り、仮に情報漏洩が起こってしまったとしても、迅速に原因究明できます。ITの発展により、求められる内部統制の基準も徐々に高くなっていきています。内部統制の目的の一つ「資産を管理する」には情報資産も含まれているため、ログ管理により内部統制の整備にも役立つのがメリットです。
また、自社で運営しているWebサイトで行われるログ管理を利用すれば、アクセス解析によりマーケティングを改善することもできます。「誰が」「いつ」「どのページに」「どれくらいの時間滞在したか」など、ログ管理で得られる情報はたくさんあります。
内部統制のためのログ管理の問題点
内部統制におけるログ管理には、前述のとおり多くのメリットがあります。しかし一方で、内部統制のためのログ管理には下記の問題点も挙げられます。
ログ管理の問題点
- 分散されている
- 統計が難しい
- 保全・保管が必要
- 改竄のリスクがある
それぞれの問題点について、何が問題なのか、また改善方法はあるのか詳しく見ていきましょう。
分散されている
ログ管理することで、情報資産を管理しやすくなるメリットはありますが、一方でその情報はシステムごとに分散されています。システムによってログの確認方法や種類、特性が異なるため、必要なログを見つける手間がかかります。
分散されているログを管理するには、ログ管理のマニュアル作成が有効です。必要になってからログを探すのは時間がかかるため、日頃からどこにどんなログがあるのか、管理しておきましょう。
統計が難しい
統計が難しいことも、ログ管理における問題点です。前述したとおり、ログはシステムごとに分散されているため、統計処理も難しくなります。そもそもログの統計は、内部統計が適切に、効率よく運用されているかを数字で表すときに必要です。統計が難しいことで、内部統計の評価がうまくできない可能性があります。
ログの統計を取るのが難しい場合、ログ管理システムにより一元化し、集計して統計を取ることも可能です。手動で必要なログを集め、統計を取ると間違いが発生しやすいものですが、統計システムを活用すればボタン一つで統計処理できます。
保全・保管が必要
ログは事業の効率化やマーケティングの改善など、多くの場面で役立つ情報です。しかし一方で、流出した場合は企業イメージの低下や損失につながることも理解しておくべきでしょう。
そのため収集したログは、適切な方法で保全・保管する必要があります。ログの保全・保管がなされていない場合、情報漏洩のリスクが高まります。ログを適切に保全・保管するには、アクセス権の付与を制限したり、使われていないアカウントを棚卸ししたりするとよいでしょう。
改竄のリスクがある
ログ管理の問題点として、改竄リスクも考えておかなければなりません。収集したログが正当なものではなく、証拠隠滅のために改竄されたものである可能性も視野に入れておく必要があるでしょう。改竄は内部の問題だけではなく、外部からの不正アクセスなどが原因となるケースもあります。
ログの改竄を防ぐためには、まずはログへの不正アクセスを防ぐことです。ログの保管は記録対象のサーバではなく、別のサーバを利用するなど別の場所に保管しておくことで、不正アクセスによる改竄の可能性を減らすことができます。
内部統制のためのログ管理のポイント
内部統制のためには、ログをただ収集すれば良いわけではありません。ここでは、内部統制においてどのようにログ管理をすることが重要かを解説します。
必要な情報を含んでいるか確認する
内部統制のためのログ管理では、収集したログに必要な情報が含まれているかどうかが重要です。たとえば、ログを保存していたとしても、不要なログばかりでは活用できません。では、ログに含まれている必要がある情報とはどのようなものでしょうか。必要な情報を以下にまとめました。
ログに必要な情報
- 実行者
- 対象
- 実行時間
- 実行場所
- 実行内容
いわゆる4W1H(Wat・Who・When・Where・How)が重要で、上記の情報が含まれているログは信頼度が高く価値があり、内部統制に活用できます。
改竄されていないことを証明する
内部統制のためのログ管理では、収集したログが正当なものであることを示せるかどうかが重要です。前述のように必要な情報を含んでいたとしても、改竄されたものであれば意味がありません。
ログの信頼性を証明するためには、リアルタイムにログを収集すること、そして収集したログを別の場所(サーバ)に保管するログ管理システムを活用するのが有効です。生のログを保管できていれば、比較対象となるためログが改竄されていないか確かめることができます。
1年以上の保存期間を設ける
内部統制では、収集したログは長期間保存しておく必要があります。日本セキュリティ監査協会の「サイバーセキュリティ対策マネジメントガイドライン」によると、ログの適切な保管について、以下のように記載されています。
引用:特定非営利活動法人日本セキュリティ監査協会「サイバーセキュリティ対策マネジメントガイドラインVer2.0」
つまり、万が一のあったときに備え、遡れるログをできるだけ多く残しておく必要があります。しかしログの保管には膨大な容量を必要とするため、保存期間として少なくとも1年分のログは残しておいたほうがよいということです。
まとめ
ログの活用は難しいこともありますが、内部統制において、ログ管理はリスクへの対応やモニタリング、ITへの対応に必要不可欠です。ログ管理をする際は、必要な情報を含んでいるか、改竄されていないと証明できるかが重要なポイントとなります。また、ログ管理では1年以上の長期保存が必要です。内部統制を整備するにあたり、ログ管理の重要性もきちんと理解したうえで、適切にログ管理の方法を考え、整備しましょう。
当社が提供する「マネーフォワード クラウドERP」は、一つの機能から段階的に導入できるクラウド型のERPシステムです。財務会計や人事管理など、企業のバックオフィス業務全体をカバーする機能を備えています。ログ管理ができる機能もご用意しておりますので、内部統制の強化にお悩みの企業様はぜひお気軽にご相談ください。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
J-SOX 3点セット攻略ガイド
すべての上場企業が対象となるJ-SOX(内部統制報告制度)。
本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。
経理担当者向け!Chat GPTの活用アイデア・プロンプトまとめ12選
経理担当者がChat GPTをどのように活用できるか、主なアイデアを12選まとめた人気のガイドです。
プロンプトと出力内容も掲載しており、コピペで簡単に試すことも可能です。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
よくある質問
内部統制でログ管理が必要な理由は?
内部統制でログ管理が必要な理由は、以下の3つです。
- 情報資産を管理しやすくなる
- 個人情報の保護につながる
- 解析することでマーケティングの改善につながる
内部統制のためのログ管理で気をつけることは?
内部統制のためのログ管理では、必要な情報が含まれているか、改竄されていないか注意します。せっかくログを残していても、必要な情報が含まれていなかったり、改竄されていたりしては意味がありません。ログ管理する際は、リアルタイムのログを別のサーバに長期間保存する必要があります。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
脅威インテリジェンスでISMSを強化!基本から連携方法まで徹底解説
サイバー攻撃が高度化・巧妙化する現代において、ISMS(情報セキュリティマネジメントシステム)の重要性は増す一方です。しかし、形式的な運用だけでは十分な効果は得られません。そこで鍵となるのが「脅威インテリジェンス」の活用です。 この記事では…
詳しくみるISO認証の取得で内部統制を強化できる!取得・維持の流れも解説
内部統制の強化をするための方法として、ISO認証の取得も効果的です。では、ISO認証とは一体どのようなものなのでしょうか。 この記事では、ISO認証とは何か、ISO認証の取得で内部統制を強化できる理由、その他のメリットを紹介します。また、I…
詳しくみる関連当事者取引とは?開示基準や開示項目、取引した場合の対処法について解説
「関連当事者取引」とは、企業がその経営陣、主要株主、親会社、子会社、関連会社などの関連当事者と行う取引を指します。これらの取引は、通常の市場条件と異なる条件で行われることがあり、そのため特に注目され、適切なディスクロージャー(情報開示)が要…
詳しくみる内部通報制度とは?事例をもとに導入効果や課題・対策を解説
近年、企業内の不正やハラスメントを早期に是正する手段として「内部通報制度」が注目されています。2022年の公益通報者保護法改正により、従業員300人以上の企業では内部通報制度の整備が義務化されるなど、制度導入の動きが本格化しています。さらに…
詳しくみるベンチャーの資金調達方法とは?メリット・デメリットなどを解説
ベンチャー企業を経営している方やこれから起業を考えている方の中には、「資金調達にはどのような手段があるのか?」や「どうすれば早期に資金を確保できるか?」といった疑問を抱えている方がいらっしゃることでしょう。 新しい事業に取り組むベンチャー企…
詳しくみるIPOを目指す企業が行うべきセキュリティ対策とは?必要な理由や課題を解説
中小企業の中には、IPO実現を目指している企業もいるでしょう。企業が上場を目指す過程では、多くの機密情報が外部に公開されるリスクが高まります。 不正アクセスや情報漏洩を防ぐため、適切なセキュリティ対策を講じることは、投資家の信頼を得るための…
詳しくみる