利用中のクラウドサービスは大丈夫?
クラウドサービスのログ管理で失敗しないためのポイント

情報システムを運用する際には、ログの管理が欠かせません。従来のオンプレミス環境とは異なり、クラウドサービスを利用するときには「必要な範囲のログが必要な期間の分だけ確保できるか」「ログを入手するためどのくらいのコストがかかるか」といったポイントを確認する必要があります。

今回は、クラウドサービスを利用する際に気をつけたいログ管理のポイントについてご紹介します。

ログは、情報システムの運用に欠かせない重要情報

情報システムの内部で何が起きているのかを知る手がかりとして、ログ以上に有効なものはありません。ログにはシステムに生じた大小さまざまなイベント(事象)が記録されています。情報システムの運用には、日々出力される膨大なログから必要な情報を抽出することが不可欠です。

クラウドサービスを利用する場合にも、ログはシステムの利用状況を知る上で重要な情報源となります。しかしクラウドサービスの特性上、従来の企業内システムの場合とは異なる考慮が求められることに注意が必要です。

クラウドサービス利用時に考慮すべき事項

(1) クラウドサービス事業者からのログ提供

多くのクラウドサービスでは、ログをモニタリングする機能も提供されています。しかし、示される情報はサービス事業者によって規定されており、ログの範囲や保存期間に制限があります

また、詳細な分析用に生のログデータが必要な場合はログファイルをダウンロードすることもできますが、一般にログファイルにはダウンロード可能な期限が設けられています。監査対応などの目的で一定期間以上のログ保存が必要な場合には、注意が必要です。

クラウドサービスを利用する際には、クラウドサービスから適切なログが適切なタイミングで入手可能か、あらかじめ確認することが重要です。

(2) 目的に応じて異なるログの範囲

クラウドサービスの利用者が入手すべきログにはどのようなものがあるのでしょうか。以下に、経済産業省が公表している「クラウドサービス利用のための情報セキュリティガイドライン」に基づき、ログによる記録が望ましいとされる事項を例示します。

  • システムリソース利用状況の監視
  • 利用者の操作状況の記録
  • 運用者の操作状況の記録
  • 特権アカウントの使用状況・操作状況の監視
  • 監査対応
  • 法的措置に必要な証拠の収集
  • 情報セキュリティインシデントの管理

上記のうち、クラウドサービス利用者が特に注意すべきものは、「監査対応」「法的措置に必要な証拠の収集」「情報セキュリティインシデントの管理」の3種類です。

監査や法的措置対応の目的で必要とされるログは、業種あるいは業務によって求められる内容とは範囲が異なります。例えばマイナンバーを扱う業務においては、マイナンバーを含む特定個人情報ファイルの利用状況の厳密な記録が求められますが、単なるアクセスログだけでは具体的にどのデータに誰がアクセスしたかが分かりません。このように、マルチテナント型のサービスを利用している場合には、特定の要件に見合った情報が提供されない場合があることに注意が必要です。

また、近時は情報セキュリティインシデント対策が事前検知や予防にシフトしていることから、平常時からリアルタイムでログを監視し、蓄積する必要性が高まっています。しかし、分析のため保持すべきログの量は膨大であり、データ保存のために多大なサービス料金が追加で発生する場合があります。

クラウドサービスに適したログ管理ソリューション

以上の注意点を踏まえて、クラウドサービス利用時に望ましいログ管理の仕組みについて見ていきましょう。

注目すべきは、ログの収集・保管をクラウドサービス事業者に任せるのではなく、利用企業自ら実施するというアプローチです。例えばNTTテクノクロスでは、クラウドサービス向けのアクセスログ収集ゲートウェイサーバとして、TrustBind/Secure Gatewayを販売しています。クラウドサービスへのアクセス経路上にゲートウェイサーバを設置し、そこでクラウドサービスへのアクセスログを網羅的に取得する方法です。取得したログは全てオンプレミス環境に保管できるため、クラウドサービスのリソース使用量や追加料金を心配する必要はありません。

もちろん、アクセスログだけでクラウドサービス利用状況の全てが把握できるわけではありません。例えば、操作者が指定した検索条件は確認できても、その結果としてどのデータが実際に返却されたか、といった情報は、通常のアクセスログには含まれないからです。その点、ゲートウェイサーバでは、実際に返却されたデータを逐一追跡することが可能となります。クラウドサービスが提供する他のログ、例えばシステムログや監査ログ等とローカルに収集されたアクセスログを適宜組み合わせることによって、十分な範囲のログを管理できるようになります。

クラウドサービスのアクセスログをゲートウェイにて収集することのメリットは、他にもあります。企業内にすでに統合ログ管理システムがある場合は、クラウドサービスへのアクセスログも管理対象に含めることができ、一元的なログ管理が可能となります。また、収集と保管の地点をオンプレミス環境に集約することで、ログ改ざんの対策にもなります。

クラウドサービス利用時の、ログの収集・管理で悩まれている方は、TrustBind/Secure Gatewayの採用を検討してみてはいかがでしょうか。