メルトピア

経営基盤を強化するIT戦略

三菱電機メルトピア。様々な事例がご覧いただけます。

  • ビジネスリポート

  • 2011年 4月号(No.165)
  • 三菱電機インフォメーションテクノロジー株式会社
  • 統合ログ管理ソリューション「LogAuditor」
  • IT全般統制の監査要求に応えるログデータのモニタリングの仕組みを構築し
    監査対応業務の大幅な効率化を実現

金融商品取引法(日本版SOX法)や新会社法の施行により、内部統制、なかでもIT全般統制の有効性評価を行う上で、情報システムの操作履歴であるログの管理が重視されています。三菱電機インフォメーションテクノロジー株式会社(MDIT)は、統合ログ管理ソリューション「LogAuditor」を導入することで、年々厳しくなるIT全般統制の監査要求に応えるログ管理の仕組みを構築し、監査レポートの作成をはじめとした監査対応業務の大幅な効率化を実現するとともに、継続的な改善を推進しています。

画像:LogAuditorのラインナップ

LogAuditorのラインナップ

人物写真

技術本部 情報システム部長
兼 コンプライアンス推進室
情報セキュリティーセンター
片山 隆男 氏

人物写真

技術本部
情報システム部付
田中 湧次 氏

IT全般統制に不可欠な
ログデータの統合的なモニタリング

 2005年2月に情報セキュリティーマネジメントシステムのISMS認証を取得したMDITでは、以降、日常業務における厳格なルールに基づいた情報管理、定期的な監査、監査結果によるルールの見直しといったPDCAサイクルを継続的に実践しています。また、財務報告に係る内部統制報告制度の施行に際しては、これらの経験則を生かしたIT全般統制への取り組みを積極的に推進しています。
 技術本部 情報システム部長 兼 コンプライアンス推進室 情報セキュリティーセンターの片山隆男氏は、MDITのIT全般統制への取り組みについて、次のように語ります。
 「企業活動のあらゆる場面でITが活用される今日、財務報告の信頼性を確保するために、IT全般統制への取り組みが従来にも増して重要視されています。財務報告の対象期間中に財務報告に影響を与えるようなデータの改ざんがなかったことを証明するためには、潜在的なリスクを予見して統制を図る『予防的統制』を踏まえて、顕在化したリスクを適切に是正するための『発見的統制』であるログ管理を徹底することが重要です」
 技術本部 情報システム部付の田中湧次氏は、次のように語ります。
 「最近では特に、業務システムやサーバー、データベースの管理者が使う特権IDのログを重点的に監視することを要求されています。そこで、IDや権限の付与、特権ID(管理者権限ID)使用時の事前申請・承認といったルールを整備した上で、収集したログを定期的にモニタリングし、問題が見つかったときには財務報告書の作成前に対策をとれる仕組みとして、統合ログ管理ソリューション『LogAuditor』を導入しました」

▲ ページトップに戻る

効率的なログ管理・活用により
約1週間は要する業務が10分程度に短縮

 ログデータのモニタリングの仕組みを構築するにあたり、膨大な量のログデータをいかにして効率的に管理するか、また、形式や種類が異なるログの扱いが大きなポイントとなりました。実際の運用について、片山氏は次のように語ります。
 「当社では、IT全般統制に関するログを2年間分保管しており、その数は約2億数千万件に及びます。こうした大量のログデータに対しても『LogAuditor』の高速検索・集計機能により、例えば、『あるシステムの何月分のログを閲覧したい』といった監査要求に対して、その場でタイムリーにデータを提供することが可能になりました。ログデータは10分の1程度のサイズに圧縮保存できるため、ディスクの効率的な利用が可能です」
 複数のシステム/サーバー/DBから収集されるIT全般統制に関するログデータは、種類、形式とも様々です。「LogAuditor」では、このように異なる形式のログを統一したフォーマットで出力できるため、一度操作を覚えるだけで効率的な運用が可能です。また、ログフォーマット変更に柔軟に対応する拡張性を備えているため、監査ポリシーの見直しがあった時にも容易に対応できます。さらに、システム/ サーバー/DB別、日付別、イベント別などの条件によるログ抽出がプルダウンメニューで簡単に切り替えられるため、抽出結果をより詳細に分析をすることで、監査レポートの精度向上にも効果を発揮します。
 「監査レポートの作成は、使い慣れたExcelのアドインツールにより、分析対象となるログを簡単にレポート化できます。特権ID使用ログについて、問題ない使用であったことを確認した事前申請データや作業記録等をイメージコピーしてログ監査シートに直接貼りつけてコメントを付記すれば、そのまま監査証跡として使用できます。1台の業務システム用サーバーの1ヵ月分のアクセスログについて分析する場合、大量のログデータから対象のログのみを選り分け、個々のログの意味を吟味しながら分析する必要があり現実的ではありませんが、もし手作業で行うとしたら集計からレポート化まで約1週間はかかると想定される業務を、『LogAuditor』ならわずか10分ほどで作成できます」(田中氏)
 このようにして、MDITでは多角的なログ分析が可能となったことに加え、特権IDをはじめとしたIDの運用管理が徹底されました。このことは不正行為の防止に対するユーザーの意識の向上とともに、統制レベルの向上につながっています。

▲ ページトップに戻る

PDCAサイクルの確立により
IT全般統制対応を継続的に推進

 「LogAuditor」の導入・運用によって、MDITではIT全般統制への確実な対応と効率化、継続的な統制レベルの向上を容易に実現する仕組みが実現しました。
 今後の計画としては、IT全般統制の対象となる財務関連システムに加え、ファイアウォール、不正侵入検知防御装置(IPS)、Webアクセスフィルタリング装置など、セキュリティー関連の各種システムのログも「LogAuditor」上に統合し、モニタリングを実施することによって、セキュリティー管理の仕組みを強化することを検討しています。
 片山氏は、「今後もIT全般統制対応を着実に推進するとともに、このたび確立したPDCAサイクルの成果を基に、これまで以上にユーザー部門から信頼される情報システムの構築・運用を推進していきたい」と語ります。

(2010年12月取材)

※LogAuditorは三菱電機インフォメーションテクノロジー株式会社の登録商標です。
※CWATは株式会社インテリジェントウェイブの登録商標です。
※その他、会社名および製品名は各社の商標または登録商標です。

説明図

システム構成イメージ

Column

人物写真

第一事業本部 
データセントリックソリューション事業統轄部 
データセントリックソリューション第一部 第一課長
鈴木 雅也 氏

IT全般統制の取り組み強化をはじめ
様々な業種・業態のお客様のログ活用を支援いたします

 統合ログ管理ソリューションである「LogAuditor」は、IT全般統制の取り組み強化に加え、お客様の様々なニーズや規模に合わせて幅広い製品ラインナップをご用意しています。内部情報漏洩対策システム「CWAT」と連携して効率的な情報セキュリティー管理を実現する「LogAuditor for CWAT」や、ISMSの管理対象である各システムに対応したテンプレートを備えた「LogAuditor for ISMS」、電子メールの長期保存を実現するメールアーカイブ製品「LogAuditor Mail Saver」をはじめ、物理セキュリティーシステムと連携する製品もあります。
 MDITは、これまで培ってきたログ管理の実績とノウハウをもとに、お客様のIT全般統制対応をはじめとしたログの効率的な活用をサポートします。

▲ ページトップに戻る