MSP仕掛け人コラム

第19回
ログ管理についてのあれこれ(PCI DSSなど)

2014/12/17 (Wed)

 

こんにちは、MSP仕掛け人コラムニスト1号です。

 

第五回コラム以来、久しぶりの登場です。

 

今回は、先日(12/11)プレスリリースしたログのソリューションにちなんで「ログ」について語りたいと思います。技術者、特にシステム運用系の技術者にとって「ログ」という言葉が持つ響きは、どんな事を想像させるでしょうか?

 

あまりに当たり前の言葉で、日々の業務の中では、あまり意識されていない方もいらっしゃるのではないでしょうか。今回は、そんな身近な「ログ」をあらためて振り返ってみたいと思います。

 

 

 

ログ管理を考えた時に、色々な課題や目的が浮かんできますが、一般的には、主に以下のような点が挙げられているようです。

 

【管理面】

・セキュリティ強化/内部統制対応

・ログ監視の社内周知による不正の抑止

・PCI DSS/ISMS等の認証取得

 

【運用面】

・ログの一元管理による運用負荷の軽減

・ログの安全保管(暗号化、改ざん対策)

・ストレージ容量の削減(圧縮)

・監視の自動化

 

 

一口にログ管理の課題・運用といっても、このように多岐に渡りますが、この中から特に今回は、PCI DSS についてとり上げてみます。PCI DSS(Payment Card Industry Data Security Standard) とは、カード加盟店やサービスプロバイダーなどが取り扱うカード会員情報や取引情報を安全に守るために、国際カードブランド5社 (American Express、Discover、JCB、MasterCard、VISA)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準のことです。

 

<PCI DSSの認証が求められている企業には、以下のような企業が含まれます>

・アクワイアラ(加盟店契約会社)

・イシュアー(カード発行会社)

・プロセッサ(決済代行会社)

・加盟店

 

 

column19

 

 

(※出展:インフォサイエンス社 サイトより(http://www.logstorage.com/))

 

 

 

一見、限られた業界だけの基準のように感じられますが、実は、PCI DSSは、情報セキュリティに関する具体的な対策や実装を要求していることもあり、カード情報を扱う事業者のみならず、多くの企業がセキュリティ基準として採用、または採用を検討しているようです。

 

 

PCI DSSでは、以下の12のセキュリティ要件を定めています。

 

01.カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること

02.システム・パスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと

03.保存されたカード会員データを安全に保護すること

04.公衆ネットワーク上でカード会員データを送信する場合、暗号化すること

05.アンチウイルスソフトウェアまたはプログラムを利用し、定期的に更新すること 

06.安全性の高いシステムとアプリケーションを開発し、保守すること

07.カード会員データへのアクセスを業務上の必要範囲内に制限すること

08.コンピュータにアクセスする利用者毎に個別のIDを割り当てること

09.カード会員データへの物理的アクセスを制限すること

10.ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し、監視すること

13.セキュリティ・システムおよび管理手順を定期的にテストすること

12.従業員と契約社員の為の情報セキュリティに関するポリシーを整備すること

(※出展:インフォサイエンス社 サイトより(http://www.logstorage.com/))

 

 

 

この12の要件のうち、要件10が求めているものが、まさに「ログの管理」により実現するもので、もっと正確に表現するなら「ログの統合的な管理」が必須になります。よく「ログの一元管理」といった表現を耳にすると思いますが、皆様は、ログを一元管理することで運用面の負荷軽減をイメージされるのではないでしょうか?

 

確かに運用面の負荷軽減を行う為に、クラウドを含む様々な拠点に点在するログを一ヶ所に集めて、集中管理することは非常に有用、且つ大切なことです。ただし、「ログの一元管理」には、これとは別に非常に重要な目的があります。それは、「ログの横断的な検索・分析」と「ログを改ざんから保護する」ことを実現する為の一元管理です。

 

要件10の項番10.1と項番10.2に記載されている要求事項は、すべてのアクセスを追跡する為の手順を確立・実装することが要求されていますが、様々なシステム・コンポーネントへのアクセスを追跡するには、横断的な検索と分析が必要になります。

 

また、項番10.5と項番10.7に記載されている要求事項は、「監査証跡は、改ざんできないように保護することと一定期間の保管(閲覧)」が求められています。これらの要求を総合的に実現する為の下地となるのが「ログの一元管理」です。

 

つまり、「ログは、一ヶ所に集めて集中管理しましょう」ということです。

 

 

集中管理をする為にログを一ヶ所に集めることにより、管理の容易さ=負荷軽減のみならず、各所に点在する各々の役割をもったシステム・コンポーネント(例:Webサーバー、DBサーバーなど)を渡り歩くことになる「あるユーザーのアクセス」を余すところ無く検索・分析を可能とし、さらにログが出力された元のコンポーネント(セキュリティの脅威にさらされているかもしれない!!)に保管している状態(そのログそのものを改ざん、消去されるリスク)から救い出すことが可能となります。

 

こういった管理を考察し、実行に移す計画を検討する意味でもPCI DSSが求める要件のうち、要件10は参考になるのではないでしょうか。

 

 

 

さて、今回は、「ログ」に焦点を当てて、中でも「PCI DSS 要件10」にフォーカスしてみました。

 

また、次回以降、「ログ」に関する話題をコラムにしてみたいと思いますのでご期待ください。

 

 

 

記:MSP仕掛け人コラムニスト1号

 

(注)本コラムの内容は、サイトロックのサービスに対するコンセプトを説明したものです。

実際に提供されているサービスと異なる場合がありますのでご留意ください。

また、記載されている会社名、製品名は、各社の登録商標または商標です。

pageトップへ