「CWAT(シーワット)」ライターチームです。
組織のセキュリティ強化と内部不正防止において、PC操作ログの分析は重要な役割を果たします。
正確にログを収集および分析することで、機密情報に対する不正ログインなどをはじめとする不正な操作の早期発見が容易になり、内部不正の防止につなげることが可能です。
本記事では、PCの操作ログを効果的に管理および分析する方法について解説し、併せて内部不正防止のための対策もご紹介します。
- CWATの資料を請求する
1000種以上のログによって強固な内部不正対策を実現
目次
操作ログの分析が重要な理由
ユーザーのさまざまな操作ログを記録し分析する取組みは、内部不正の早期発見につながるため、内部不正対策の一環として広く行われています。
また、組織で管理されるユーザーの操作ログは、内部不正の検知に役立つだけでなく、万が一内部不正による情報漏えい事故が発生した場合に証跡を調査するうえでも非常に重要です。
ログデータを適切に保存し分析することにより、不正行為の原因や影響範囲を迅速に特定し、必要な対応を講じることが可能になります。
操作ログの種類
PCの操作ログには、アプリの操作履歴やファイルアクセス履歴、デバイス接続履歴など、多岐にわたる情報が含まれています。
ツールを利用しなくてもログ収集は可能ですが、ユーザー操作の監視ツールを利用することで、より様々なログを収集し、疑わしい操作を可視化できます。
例えば、IWIが提供するCWATは、1000種類以上の操作ログを収集します。また、ファイルの改ざんやクラウドストレージへのアップロード、深夜のログオン、USBへの書込みなど、不審な操作のみを記録する「警告ログ」も作成します。
ログの作成のほか、禁止されている操作が検知された場合は操作を即座に中断させる機能も有しており、情報の機密性が特に重要とされる金融をはじめとする重要インフラ分野で多く利用されています。
- CWATの資料を請求する
重要情報をリアルタイムに検出し不正操作を実行させない
操作ログの必要性
PCの操作ログを適切に管理し分析することで、組織全体のリスク管理を強化し、問題を早期発見し対処することが可能になります。以下に、操作ログの必要性を詳細に説明します。
セキュリティの強化
内部不正を防止するためには、重要システムへのアクセス制御やデータ取扱いの承認フローを徹底することも重要です。これに加え、操作ログの継続的な収集および分析を行うことで、より多層的で効果的な内部不正対策を実現することができます。
例えば、通常業務時間外にログインしている場合や、アクセスが許可されていないファイルへのアクセスが発生した場合、これらは不正行為の兆候である可能性があります。
ログを分析し、ログに基づいた不正操作のアラート機能を持つソリューションを導入していた場合、通常とは異なるログオンパターンや機密ファイルに対する不正操作を早期に検出することが可能です。
法的証拠の確保
操作ログの詳細な履歴を保持することは、万が一内部不正による情報漏えい事故が発生した際に、事後の調査や原因分析を迅速かつ正確に行うためにも重要です。
これらのログは、問題が発生した場合に、誰が、いつ、どのような操作を行ったのかを特定する手がかりとなります。
経済安全保障推進法の対応
経済面から国家安全保障を強化することを目指す経済安全保障推進法でも、操作ログが重要視されています。
2024年5月から、経済安全保障推進法により、特定社会基盤事業者に対して特定重要設備の導入や重要維持管理等の委託の際には、厳格な審査を受けることが義務付けられました*1。
特定社会基盤事業者(経済安全保障推進法に基づいて指定される、基幹インフラ事業を行う事業者のこと)が特定重要設備の管理を委託する際は、操作ログの適切な管理が求められます*2。
操作ログを効率的に管理・分析するためのツール
OS標準の機能でも操作ログの管理や分析は可能ですが、従業員全員分の操作ログを効率的かつ詳細に収集し、分析を行うためには、専用のツールを利用することが効果的です。
専用のツールを用いることで、大規模な組織でも迅速かつ正確にログを収集し管理できるため、運用やセキュリティ対策の面で大きな利点があります。
以下では、ツールの種類や、機能およびメリットを説明します。
ログ統合・管理ツール
統合ログ管理ツールは、複数の異なるシステムから収集したログデータを統合して管理することができ、システム全体の状況を把握しやすくします。
サーバー、ネットワーク、アプリケーションなどのさまざまなソースからログを一元管理する機能とリアルタイム分析機能により、大量のログデータを即座に解析できます。
さらに、特定のログ情報を迅速に検索できる機能も持つことが多く、ツールによっては異常を検知すると自動的に通知するアラート機能も備えているため、セキュリティリスクを迅速に検出可能です。
SIEMツール
SIEM(Security Information and Event Management|セキュリティ情報とイベント管理)ツールは、セキュリティイベントの監視に特化しており、リアルタイムで脅威を検出します。そのため、SIEMツールは、特にインシデントの調査に有効です。
SIEMツールの主な機能には脅威の検出があり、サイバー攻撃や内部不正などのセキュリティリスクをリアルタイムで検出します。
インシデント対応機能では、ログデータを元に詳細なインシデント分析が行われ、対策を講じるための情報を提供することが可能です。
DLPツール
DLP(Data Loss Prevention|データ損失防止)ツールは、ログの記録だけでなく、機密データの監視と保護を通じて、データ漏えいや不正な持ち出しを防ぐための重要な役割を果たします。
DLPツールの主な機能は、大きく分けて「データ監視」「アラート機能」「操作ログ管理や分析」の3つになります。
データ監視機能では、機密データへのアクセスをリアルタイムで監視し、不正な操作や漏えいを防止し、アラート機能では、不正なデータ操作が検知された際に即座に警告を発します。
また、操作ログ管理や分析機能では、ユーザーが行ったデータ操作を記録し、「誰が」「いつ」「どのような操作」を行ったかを特定することができます。
操作ログの管理や分析のほかに必要な対策
操作ログの管理や分析以外にも、不正防止策の観点で、実施すべき取組みが多岐にわたって存在します。
IPA(独立行政法人情報処理推進機構)が公開している「組織における内部不正防止ガイドライン」では、内部不正防止の基本5原則として次の項目が挙げられています。
対策 | 内容 |
アクセス権管理 | 最小権限の原則に基づき、重要情報へのアクセスを制限する |
持ち出し困難化 | コピー制限、メールやWebの制限などを実施し、情報の持ち出しを制限する |
ログの記録と定期的な確認 | システムの操作ログを記録し、定期的に確認することで不正行為を検知する |
ルール化と周知徹底 | 情報セキュリティに関する基本的なガイドラインや、機密情報を扱う際のルールなどを明確化し、周知する |
職場環境の整備 | 信頼関係の維持・向上や罰則規程の整備を行い、不正行為を許さない環境を作る |
内部不正防止の基本5原則は、不正行為の実行を困難にするとともに、不正への動機を抑制する効果や、不正行為の正当化理由を排除する公開があり、内部不正の防止に多面的に作用します。
このように、内部不正対策を着実に実践するためには、複数の要素を組み合わせた取組みが重要です*3。
さらに、「組織における内部不正防止ガイドライン」では、効果的な内部不正対策として、実践すべき具体的な33項目の取組みが紹介されています*3。
その中でも、内部不正の未然防止対策として重要な対策をいくつか記載します。
未然防止策 | 説明 |
基本方針の策定と周知 | 経営者が内部不正対策の責任を示し、組織全体に周知 |
管理体制の構築 | 総括責任者の任命と組織横断的な管理体制の確立 |
重要情報の格付け | 情報の重要度に応じた区分と取扱範囲の設定 |
機密情報の表示 | 重要情報の取扱範囲決定及び機密マーク等の明示 |
アクセス権限の管理 | 重要情報の取扱範囲に応じた利用者IDとアクセス権の適切な設定および運用 |
システム管理者の監視 | 管理者権限の適切な割当てと相互監視の実施 |
個別認証の徹底 | ユーザーごとの個別ID割当と個別認証の実施 |
情報機器の管理 | PCやUSBメモリ等の安全な管理と廃棄時の情報消去 |
モバイル機器の管理 | 情報機器及び記録媒体を外部に持ち出す際の承認手続き確立と記録管理 |
個人機器の制限 | 個人所有のモバイル機器や記録媒体の業務利用制限 |
ファイル共有ソフトやクラウドストレージ等の利用制限 | 不正な情報持ち出しが可能なサービスの使用制限 |
アクセス履歴及び操作履歴等のログ記録と保存 | 重要情報へのアクセス履歴等の安全な保護 |
システム管理者の監査 | 管理者のアクセス履歴や操作履歴等のログ記録と第三者による確認 |
上記は内容の一部ですが、徹底した内部不正対策を実践するためには、これらの対策を組み合わせ、定期的に見直しを行うことが不可欠です。
内部不正を発生させない仕組みをつくるCWAT
IWIが提供するCWATは、1000種類以上のログや15種類のカスタム可能なルール(セキュリティポリシー)によって、リアルタイム監視および制御を実現する内部情報漏えい対策ソリューションです。
CWATは、PCの操作内容を詳細に記録し、操作内容がセキュリティポリシーに反している場合、それをリアルタイムで検知し、即座に中止させることが可能です。
さらに、CWATが収集するログは、セキュリティ監査やインシデント調査に活用できます。
重要データを強固に保護するCWAT
内部不正対策に特化したCWATは、情報漏えいの4大経路(印刷、外部記憶媒体、メール、Webの利用)を制御できるだけでなく、カスタマイズ可能なルールを部署やグループごと、ユーザーの権限やPCの利用目的に合わせて設定することができるため、業務実態に応じて内部不正を柔軟に制御することが可能です。
また、DLP(Data Loss Prevention|データ損失防止)ツールとしての機能も備えており、データ保護の面では、ファイル内のキーワードをチェックして持ち出しを制御する機能や、CWAT独自の暗号化機能によって重要な情報を強力に保護します。
CWATは、ログや多様な内部不正操作の制御機能によって、内部不正を「させない」組織の実現を支援します。
- CWATの資料を請求する
内部不正対策や情報漏洩対策をさらに強化したい方
出典 (参考文献一覧)
※1 内閣府ホームページ | 経済安全保障推進法における特定社会基盤役務 の安定的な提供の確保に関する制度について , (参照日:2025-01-06)
※2 内閣府ホームページ | 経済安全保障推進法における特定社会基盤役務 の安定的な提供の確保に関する制度について , (参照日:2025-01-06)
※3 IPA 独立行政法人 情報処理推進機構 | 組織における 内部不正防止ガイドライン, (参照日:2025-01-06)