次世代ログに対応する前に

日本版SOX法施行2年目も終わりに近づき、2度目の内部統制監査も間近だ。多くの上場企業は、世界同時不況の影響もあり、初年度と比較すると今年は大幅に要員や予算を削減している。一方、監査ではログの「真正性」や「非改ざん証明」が新たに求められるようになってきた。 そもそも、日本版SOX法や内部統制は、事前にファイアウォールやウイルス対策製品といったセキュリティ対策製品を導入することでリスクに備える“予防的統制”と、事故が起きてしまった後に、事後的に原因を追究するための“発見的統制”に大別できる。発見的統制では、ログ管理製品が中心的な役割を担う。 内部統制初年度におけるログの役割は、まさに発見的統制を実現するために、「万が一、情報漏えいや不正侵入事故が起きた際に原因を探ることができるログを保存しておくこと」に狙いがあった。実際、いままでログをきちんと保存していなかった企業が、ログ管理製品や統合ログ

[mentum]

ログの「真正性」や「非改ざん証明」が求められる／非改ざん証明には、サーバが吐き出したログを即座に暗号化する手法や、ハッシュ値を利用するなどして第三者が電子公証するサービスなどが存在