- 更新日 : 2023年7月7日
内部統制におけるログ管理の重要性とは|ログ管理の課題やポイントを解説
内部統制では、整備しなければならない多くのポイントがあります。そのなかでも特に重要なのが、ログ管理です。
では、なぜログ管理が重要なのでしょうか。この記事では、内部管理におけるログ管理の重要性と問題点を挙げて解説します。さらに、ログ管理でのポイントも紹介しますので、ぜひ参考にしてみてください。
目次
内部統制とは
そもそも内部統制とは、企業の事業目的や経営目標、方針を達成するためのルールや仕組みを整備し、それを有効的に運用することです。内部統制の目的には、以下の4つがあります。
内部統制の目的
- 業務の有効性・効率性を向上させる
- 財務報告の信頼性を高める
- 事業にかかわる法令などを遵守する
- 資産を適切に管理する
各目的など、内部統制の詳細について詳しく知りたい方は、以下のページも参考にしてみてください。
また、マネーフォワード クラウドでは内部統制においてやることをリスト化した資料「やることリスト付き!内部統制構築ガイド」を提供しているので、ぜひ活用してみましょう。
内部統制におけるログ管理の重要性
内部統制の整備で重要な基本的要素のひとつである「モニタリング」を行うには、ログ管理が必要不可欠です。
そもそもログとは、パソコンなどの機器に記録される行動履歴のこと。ログを管理するためには、ログ管理システムといったITシステムを用いる必要があります。
ログ管理システムとは、「誰が」「いつ」「どのような操作を行なったか」を記録するシステムです。担当者にIDを付与し、IDを使ってログインすることで、一人ひとりの行動履歴を記録することができます。ログ管理を行うメリットとして、主に以下の3つの理由が挙げられます。
- 情報資産を管理しやすくなる
- 個人情報の保護につながる
- 解析することでマーケティングの改善にもつながる
情報漏洩の原因は多くが従業員のミスや不正によるものです。ログ管理することで、不正しにくい環境を作り、仮に情報漏洩が起こってしまったとしても、迅速に原因究明できます。ITの発展により、求められる内部統制の基準も徐々に高くなっていきています。内部統制の目的の一つ「資産を管理する」には情報資産も含まれているため、ログ管理により内部統制の整備にも役立つのがメリットです。
また、自社で運営しているWebサイトで行われるログ管理を利用すれば、アクセス解析によりマーケティングを改善することもできます。「誰が」「いつ」「どのページに」「どれくらいの時間滞在したか」など、ログ管理で得られる情報はたくさんあります。
内部統制のためのログ管理の問題点
内部統制におけるログ管理には、前述のとおり多くのメリットがあります。しかし一方で、内部統制のためのログ管理には下記の問題点も挙げられます。
ログ管理の問題点
- 分散されている
- 統計が難しい
- 保全・保管が必要
- 改竄のリスクがある
それぞれの問題点について、何が問題なのか、また改善方法はあるのか詳しく見ていきましょう。
分散されている
ログ管理することで、情報資産を管理しやすくなるメリットはありますが、一方でその情報はシステムごとに分散されています。システムによってログの確認方法や種類、特性が異なるため、必要なログを見つける手間がかかります。
分散されているログを管理するには、ログ管理のマニュアル作成が有効です。必要になってからログを探すのは時間がかかるため、日頃からどこにどんなログがあるのか、管理しておきましょう。
統計が難しい
統計が難しいことも、ログ管理における問題点です。前述したとおり、ログはシステムごとに分散されているため、統計処理も難しくなります。そもそもログの統計は、内部統計が適切に、効率よく運用されているかを数字で表すときに必要です。統計が難しいことで、内部統計の評価がうまくできない可能性があります。
ログの統計を取るのが難しい場合、ログ管理システムにより一元化し、集計して統計を取ることも可能です。手動で必要なログを集め、統計を取ると間違いが発生しやすいものですが、統計システムを活用すればボタン一つで統計処理できます。
保全・保管が必要
ログは事業の効率化やマーケティングの改善など、多くの場面で役立つ情報です。しかし一方で、流出した場合は企業イメージの低下や損失につながることも理解しておくべきでしょう。
そのため収集したログは、適切な方法で保全・保管する必要があります。ログの保全・保管がなされていない場合、情報漏洩のリスクが高まります。ログを適切に保全・保管するには、アクセス権の付与を制限したり、使われていないアカウントを棚卸ししたりするとよいでしょう。
改竄のリスクがある
ログ管理の問題点として、改竄リスクも考えておかなければなりません。収集したログが正当なものではなく、証拠隠滅のために改竄されたものである可能性も視野に入れておく必要があるでしょう。改竄は内部の問題だけではなく、外部からの不正アクセスなどが原因となるケースもあります。
ログの改竄を防ぐためには、まずはログへの不正アクセスを防ぐことです。ログの保管は記録対象のサーバではなく、別のサーバを利用するなど別の場所に保管しておくことで、不正アクセスによる改竄の可能性を減らすことができます。
内部統制のためのログ管理のポイント
内部統制のためには、ログをただ収集すれば良いわけではありません。ここでは、内部統制においてどのようにログ管理をすることが重要かを解説します。
必要な情報を含んでいるか確認する
内部統制のためのログ管理では、収集したログに必要な情報が含まれているかどうかが重要です。たとえば、ログを保存していたとしても、不要なログばかりでは活用できません。では、ログに含まれている必要がある情報とはどのようなものでしょうか。必要な情報を以下にまとめました。
ログに必要な情報
- 実行者
- 対象
- 実行時間
- 実行場所
- 実行内容
いわゆる4W1H(Wat・Who・When・Where・How)が重要で、上記の情報が含まれているログは信頼度が高く価値があり、内部統制に活用できます。
改竄されていないことを証明する
内部統制のためのログ管理では、収集したログが正当なものであることを示せるかどうかが重要です。前述のように必要な情報を含んでいたとしても、改竄されたものであれば意味がありません。
ログの信頼性を証明するためには、リアルタイムにログを収集すること、そして収集したログを別の場所(サーバ)に保管するログ管理システムを活用するのが有効です。生のログを保管できていれば、比較対象となるためログが改竄されていないか確かめることができます。
1年以上の保存期間を設ける
内部統制では、収集したログは長期間保存しておく必要があります。日本セキュリティ監査協会の「サイバーセキュリティ対策マネジメントガイドライン」によると、ログの適切な保管について、以下のように記載されています。
引用:特定非営利活動法人日本セキュリティ監査協会「サイバーセキュリティ対策マネジメントガイドラインVer2.0」
つまり、万が一のあったときに備え、遡れるログをできるだけ多く残しておく必要があります。しかしログの保管には膨大な容量を必要とするため、保存期間として少なくとも1年分のログは残しておいたほうがよいということです。
まとめ
ログの活用は難しいこともありますが、内部統制において、ログ管理はリスクへの対応やモニタリング、ITへの対応に必要不可欠です。ログ管理をする際は、必要な情報を含んでいるか、改竄されていないと証明できるかが重要なポイントとなります。また、ログ管理では1年以上の長期保存が必要です。内部統制を整備するにあたり、ログ管理の重要性もきちんと理解したうえで、適切にログ管理の方法を考え、整備しましょう。
よくある質問
内部統制でログ管理が必要な理由は?
内部統制でログ管理が必要な理由は、以下の3つです。
- 情報資産を管理しやすくなる
- 個人情報の保護につながる
- 解析することでマーケティングの改善につながる
内部統制のためのログ管理で気をつけることは?
内部統制のためのログ管理では、必要な情報が含まれているか、改竄されていないか注意します。せっかくログを残していても、必要な情報が含まれていなかったり、改竄されていたりしては意味がありません。ログ管理する際は、リアルタイムのログを別のサーバに長期間保存する必要があります。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談していただくなど、ご自身の判断でご利用ください。
