ログは取得するだけでは意味がない、ちゃんと解析、レポート、検知まで設計されたログ収集と分析が必要。という三輪節。

監査人や内部統制コンサルタントによっても、ログの必要性がことさらに強調されてきたようです。データベースやネットワーク機器、セキュリティ機器、PCの操作ログに至るまで、あらゆるログの収集を推進してきたのです。このこと自体は「何か起こったときのために」必要ではあるのですが、なんとなく集めたログは、果たしていざというときに役に立つのでしょうか。

セキュリティシステムをマネジメントせよ (1/3)：セキュリティ、そろそろ本音で語らないか（12） - ＠IT

ここでの「役に立つログ」とは、以下の情報セキュリティ要件を満たすものです。

• セキュリティ事案に関する予兆の発見に有効なこと
• セキュリティ事案の発生に速やかに気付くこと
• セキュリティ事案の具体的事象や規模の把握が速やかに行えること
• 犯人や関係者を特定しうること

セキュリティシステムをマネジメントせよ (1/3)：セキュリティ、そろそろ本音で語らないか（12） - ＠IT

ログ設計が大切。統合ログってのはその次。

ログ設計とは「ログで何をしたいのか、何ができるのか」を整理することです。現在はログで何ができるのかということすら、技術的に整理されていません。まずはその定義から始めなければいけません。お客様によっては「事後に重点を置く」考えもあると思いますし、「予兆をいち早く検知したい」と考えるケースもあるでしょう。これらの要件と実現可能性、そしてなによりコストについて分析を行い最適解を導き出す、という重要なフェイズであり、ここで間違うと肝心なものが見つからない事態に陥ってしまいます。
運用フェイズも、通常のシステム運用と違い、場合によっては内部監査室や社長室とのコミュニケーションも必要です。「特定の社員を監視する」といった標的の設定や内部調査など、重要で特殊な業務が含まれます。
法的な対処も大きな課題です。犯人や関係者の特定ができたとしても、体制や環境が未整備であるため、法的措置をどうすべきかは大きな課題です。しかし、法的未整備を嘆いていても現状は変わりませんから、まずは技術的に「確固たる証拠とはこのようなもの」というものを提起しないといけないと考えています。その場合、1個所のログだけでなく、複数のログを組み合わせることによって証拠能力が高まると考えています。

セキュリティシステムをマネジメントせよ (2/3)：セキュリティ、そろそろ本音で語らないか（12） - ＠IT