ゼロトラストセキュリティ対策で欠かせない、認証・アクセス管理に関する情報をお届け

悩める情シス部門のコンパス 認証・アクセス管理ガイド

注目のキーワード
×
コラム 2022.09.07
シェア

クラウドサービスのログ管理・証跡管理のポイントと留意点

column_019_thumbnail.png

近年、社内システムをオンプレミスからAWS・Azureなどのクラウド環境に移行する動きが加速しています。クラウドのほうがシステム管理コストや運用負担を削減できたり、利便性や拡張性に優れているためです。

しかし利便性が高い反面、クラウドはユーザーや管理者がどこからでもアクセスできるため、より厳重にログ管理・証跡管理を行い、不正防止や問題の早期発見の仕組みを備えることが重要です。

そこで本記事では、クラウドサービスのログ管理・証跡管理のポイントや留意点をご紹介します。

INDEXこの記事の目次

    サービスの提供形態がもたらす責任分解点

    ご存じの通り、クラウドサービスの提供形態は、IaaS、PaaS、SaaSなど様々であり、サービス形態によってログ管理・証跡管理のポイントは異なります。

    • IaaS(Infrastructure as a Service) : ハードウェアリソースのサービス提供
    • PaaS(Platform as a Service) : データベース、アプリケーション開発・実行環境などのミドルウェアのサービス提供
    • SaaS(Software as a Service ) : アプリケーションのサービス提供

    上記のように、クラウドサービスではサービス形態によって利用できる内容が異なるとともに、システムを稼働させる上での利用者とサービス提供事業者の責任範囲が異なることがログ管理・証跡管理を考える上でポイントとなります。

    column_019_image01.png

    IaaSにおけるログ管理・証跡管理のポイント

    column_019_image02.pngIaaSでは、サービス事業者が提供するのはハードウェアリソースまであり、利用者はリソースの上に自ら必要な OS、ミドルウェア、アプリケーションを搭載してシステムとして稼働させます。したがって、OSより上位レイヤーの管理責任は利用者側にあります。

    IaaS上に構築したシステムにおいて、ログ管理・証跡管理を必要とする場合、その仕組み自体の実装は利用者側で検討する必要があります。

    ほとんどのIaaSでは、サービス提供の仕組みとして仮想化技術を利用しており、利用者にはハードウェアリソースを仮想的なマシンとして提供しています。

    そのため、OSより上位の仕組みはオンプレミス上で構築するシステムと基本的な相違はなく、これまでオンプレミスで実装していたログ管理・証跡管理の仕組みが利用可能です。

    ただし、仮想環境固有の技術によって仮想マシン上のログ・証跡の完全性が担保されない場合があるため、その運用やログの保管場所等については留意が必要です。(詳しくはこちらのコラムで解説しています)

    また、仮想マシン自体の作成・変更等を行う管理コンソールの操作は、システム全体に及ぼす影響が大きく、ログ管理・証跡管理によって担保することが望ましいです。こちらの点も仮想環境と同様ですが、プライベートクラウド環境のように利用者側が仮想技術を選択することはできないため、管理コンソールによる操作内容のログが取得できるかどうかはIaaS選定時の考慮点になります。

    ログが取得できない場合には、利用者側で仕組みを実装し、対処が可能かどうかを検討することも選択肢となります。

    PaaS/SaaSにおけるログ管理・証跡管理のポイント

    column_019_image03.pngPaaS/SaaSは、IaaSと異なり、ミドルウェアやアプリケーションを利用するための専用のインターフェイス(通常はWebブラウザを介して利用)が用意されており、ユーザーが独自にログ管理・証跡管理の仕組みを実装することは困難です。

    そのため、ログ管理・証跡管理などのセキュリティ要件は、サービスを選定する上での重要な要素となります。

    その際にポイントとなるのが、ミドルウェア、アプリケーションとしての機能要件との折り合いです。

    PaaS/SaaSを利用して行いたいのは、業務効率化や顧客サービスの提供となりますので、それらの目的を遂行するために必要な機能要件を満たしているかどうかは最も重要な点です。よって、機能要件を満たしていても、ログ管理・証跡管理などのセキュリティ要件が満たせない場合であっても、そのサービスを選択するのが順当な考え方と言えます。

     

    ログ管理・証跡管理要件を自らの実装で満たすという選択肢

    このようなジレンマを解消する方法の一つに、クラウドサービスに対するログ管理・証跡管理をツールによって利用者自らが実装する方法があります。

    クラウドサービスにおいては、管理者による設定変更等の操作もWebを介して行う場合が多く、必ずしもすべての操作内容が履歴として残らないことがあります。また、ユーザー権限も管理者、一般ユーザーといった具合に大まかにしか区分されておらず、管理者には設定変更権限もすべての保存データに対するアクセス権限も有するなど過剰すぎる傾向があります。

    それらのリスクの担保の方法として、管理者アクセスの内容を証跡管理ツールですべて録画するという方法は有効です。

    システム証跡管理ならESS REC

    システム証跡管理ならESS REC

    弊社エンカレッジ・テクノロジでは、システム証跡監査ツールの「ESS REC」を開発・販売しています。ESS RECは、システムの特権アクセス時の操作と操作環境を克明に記録・監視するとともに、高いトレーサビリティを確保します。

    おかげさまで様々な業種・業態にご採用いただいており、14年連続市場シェアNo.1(※)のデファクトスタンダードです。IT統制の強化や監査対応、システム操作のセキュリティ対策に課題をお持ちの方はぜひご検討ください。

    ESS RECの詳細はこちら

    ※出典:内部脅威対策ソリューション市場の現状と将来展望 2023年度版【サイバーセキュリティソリューション市場19版目】デロイト トーマツ ミック経済研究所株式会社 及び同社における過去の調査結果

    CATEGORYカテゴリ
    KEYWORD注目のキーワード

    関連記事RECOMMEND

    CATEGORYカテゴリ
    KEYWORD注目のキーワード
    wp_selfcheck wp_selfcheck