Pocket

アクセログとは

Pマークを取得する際にはアクセスログを取得してチェックしていなければいけないということがよく言われます。
Webサービス関連の業務の方やエンジニアの方にとってはアクセスログとはWebサイトにアクセスしてくるユーザのログ、と考えるのが一般的でしょう。

ただし、Pマークで求められている「アクセスログ」は一般的な認識とは全く異なります。社内にあるファイルサーバなどの個人情報へのアクセスのログというのが審査などで求められるものになります。え?それ何の意味があるの?と思う方も多いでしょうが、審査ではほとんどこのような視点でしか見られないのです。その理由を以下で説明していきます。

アクセスログについてPマークで求められていること

実はPマークの準拠規格であるJIS Q15001にはアクセスログをチェックせよという具体的な内容は記載されていません。
記載されているのは以下のみです。

3.4.3.2 安全管理措置
事業者は,その取り扱う個人情報のリスクに応じて,漏えい,滅失又はき損の防止その他の個人情報の安全管理のために必要,かつ,適切な措置を講じなければならない。

全くアクセスログについてはふれていませんよね。その理由はJIS Q15001では安全管理措置については「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参考にして対策をおこなう必要があるとしているからです。それではガイドラインではどのように記載されているかというと以下のとおりです。

「個人データへのアクセスの記録」を実践するために講じることが望まれる手法の例示
・個人データへのアクセスや操作の成功と失敗の記録及び不正が疑われる異常な記録の存否の定期的な確認
*個人データへのアクセスや操作の成功と失敗の記録については、情報システムを構成する各システムへのアクセスや操作の成功と失敗等の記録を組み合わせ、各個人データへのアクセスや操作の失敗を全体として記録することが考えられる。
・採取した記録の漏えい、滅失及びき損からの適切な保護
*採取した記録を漏えい、滅失及びき損から保護するためには、当該記録を適切に管理された外部記録媒体ないしログ収集用のサーバ等に速やかに移動することが望ましい。
*システム管理者等の特権ユーザーのアクセス権限を用いても、採取した記録を改ざん・不正消去できないよう、対策することが望ましい
*個人データを取り扱う情報システムの記録が個人情報に該当する場合があることに留意する。

つまり、個人情報が含まれるデータへのアクセスやファイル操作の記録を定期的にチェックせよと言っているわけです。つまりここで求められているのは基本的には内部不正のお話だと思ってください。ファイルサーバなどに重要な個人情報があり、サーバへのログイン試行の失敗やファイル操作の失敗などについて、ログを取得して怪しい動きがないかチェックしてくださいことです。もちろん金融関係などの非常に重要な個人情報については、そのような記録を全て取得して万全な体制をおこなう必要があるでしょう。ただし、自社Webサービスを運営している会社にとっては、社内のファイルサーバへのアクセスではなく、サーバやDBへのアクセス・操作ログのチェックの方がより重要になるはずですが、審査で問われるのはほとんどが社内のシステムへの対策までになっています。これはなぜなのでしょうか。

アクセスログと監査ログ

そもそも自社でシステムを持っている場合、おそらくいちばん重要なのはデータベースの操作記録です。これは外部からの攻撃・内部不正も含めて全てです。ですので、個人情報の漏洩があった場合に調査するべきなのはアクセスログではなく監査ログのはずです。監査ログとはどのようなことをおこなったかまで記録に残っているログのことです。ところが監査ログを取得し、チェックするためにはシステム導入もおこなわなければなりませんし、自社で設計する場合も監視が非常に大変です。また、Webサービスなどでは大幅にパフォーマンスが落ちることもあります。規模にもよりますが、小さくても数百万円以上のコストが発生します。金融系やクレジットカード情報を取り扱うような企業ではもちろん実施してますが、これを実装するかどうかは取り扱っている個人情報の重要度や会社の規模にもよります。そのため、Pマークでは監査ログまで取得せよという基準にすると殆どの企業が対応できなくなってしまうため、中途半端に「アクセスログを確認」せよという基準にしているわけです。

アクセスログの確認方法

ではアクセスログを定期的に確認するにはどうしたらいいのでしょう。一般的なファイルサーバであればWindowsやLinux側でユーザのログイン試行やファイルオープンのログを取得し、連続失敗などがないかをチェックするのが1つの方法です。ただし目視確認は現実的には無理なので、サーバ側でアラートを上げるなどの対策が必要でしょう。ただし、準備や実施に時間がかかる割にはほとんど効果のないチェック方法になります。

また、もう1つの方法としてクライアントPC側の作業ログを取得するという方法があります。これには有償のログの監視ツールなどを導入しなければなりませんが、導入すれば誰が何をやったかのログは取得することができます。管理画面で一元管理することもできますので運用もそれほど負荷がかかりませんが、導入と初期のランニングのコストで100万円程度はかかってしまいます。

また、サーバ側のログ(外部からの不正操作)の確認については、今まで述べてきた通り、DBの監査ログを監視するシステムを入れるか、サーバ側で詳細な監視設定をおこない不正アクセスを検知するなどの方法がありますが、これは数百万円以上のコストが発生しますので、ある程度以上のWebサービスを運営していない場合は不要にはなりますが、個人情報を守るという意味では最も重要なことになります。

Pマーク審査の実態

個人情報へのアクセスをログとして保管し、チェックするという仕組みはもちろん重要です。ただしこれは取り扱う個人情報のレベルによって対処を変えるべきです。しかしPマークはケースバイケースの対応はできないため、一定基準を設ける必要があります。社内に社員情報しかない会社もクレジットカード情報を保管している会社も審査基準は同様なのです。結果、「アクセスログを取得してチェックしていますか」と質問されたら「定期的に目視で確認しています」でもOKなのです。目視でログを確認することは全く意味がありませんし何の対策にもなりませんが、中小企業に対して「ログ監視ツールを導入しろ」「監査ログを取得し、自動監視するように設定しろ」とは言えませんのでこのようなことになってしまっています。

「100名以上の企業で、一定基準以上の重要な個人情報を取り扱っている企業の場合はこのようなソリューション・製品を導入しなければならない」「その他の場合はあくまでも推奨項目とする」などの基準にすれば意味があると思いますが、やはり審査の基準は難しいものです。