操作ログ採取ツールとは（２）

前回、情報漏えい対策の手段の１つとして、クライアントの操作ログ採取を行うという方法があり、そしてそれを実現するための製品が様々なベンダーから発売されているというお話をしました。今回は操作ログ採取の目的と効果について、私の個人的な意見を織り交ぜながら述べて行きたいと思います。

早速ですが、操作ログ採取は何のために行うのでしょうか？私は大きく分けて２つの目的があると思います。１つ目は情報漏えい事件発生時の原因究明のため。そして２つ目はユーザのパソコン利用状況の監視のためです。

１つ目の理由である「情報漏えい事件発生時の原因究明のため」というのはとても明快な理由であり、またこの理由のために操作ログ採取ツールを導入している企業は多いのではないかと思います。情報漏えい事件が発生した場合、漏洩してしまった情報が顧客情報だった場合は社外的に情報漏えいの原因を説明する必要が出てきますし、内部だけの処理で済む場合も原因がわからなければ再発防止策を立案することすらもできません。誰が、いつ、どのファイルにアクセスしどのような操作を行ったのかを残しておくというのは、もはや当たり前のことなのかもしれません。

さて、「情報漏えい事件発生時の原因究明のため」に操作ログ採取ツール導入する場合、導入する製品はどれでも良いのかというと必ずしもそうではないと思います。この原因究明というポイントに絞ってツールに必要な機能を上げてみますと、①すべてのファイル操作を記録できる、②ログを一定期間保存できる、③採取したログをすばやく検索できる、という３つの機能が必要であると思います。

①は操作ログ採取ツールならば当たり前のような気もしますが、例えばファイル操作をWindowsタイトル名のみで採取している製品の場合、コマンドでのファイル操作を採取できなかったりします。もちろんこのことは、コマンドを利用するユーザなんかいないという環境では問題になりません。②に関しては製品のＤＢ内にログを長期間保存しておくのではなく、ＣＳＶファイルとして吐き出して保管しておくといった製品が多いです。また、別の製品と組み合わせると長期間保存できるようになるといった製品もあります。③ですが、この機能に関してはあまり気になさらない方もいらっしゃいますが、個人的には非常に重要であると思います。繰り返しになりますが、採取したログを長期間保存する場合は、ログをＣＳＶファイルにして保存しておくといった製品がとても多いのです。しかし、もし情報漏えい事件が発生し、「原因を至急調べてくれ」といわれた際、膨大なＣＳＶファイル内から目的のログを探し出すことが果たして可能でしょうか？

次に、２つ目の目的である「ユーザのパソコン利用状況の監視」に入りたいのですが、また文が長くなってしまったので、ここから先は次回ということで・・・。