監査ログとは何か？取得する目的とイベント・方法を詳しく紹介！

監査ログとは

監査ログとは、システム内で何が起こっているのか、誰がいつどこで何をしたかを特定するために重要なログのことです。

例えば、設定したルール通りにシステムが正しく動作しているか、ユーザーから正しく利用されているか、または異なるシステム間での連携は問題ないかなどをチェックできます。監査ログを詳細に記録することで、情報システム部門は、内部の不正情報・セキュリティ違反などが発生したときに、ログを見るだけで追跡できます。

保存期間は一般的に6カ月が多いですが、組織のニーズに応じて期間を変更することも可能です。長期データの保持が必要な場合や、短期間での削除が求められるケースなども柔軟に対応できます。

Google Workspace で取得可能な監査ログとして、管理アクティビティ監査ログとデータアクセス監査ログがあります。管理アクティビティ監査ログにはリソース構成・メタデータを変更する API 呼び出しなどに関するログが含まれています。データアクセス監査ログにはリソース構成やメタデータを読み取る API 呼び出しの他、ユーザー主導の API 呼び出しも含まれるのです。

監査ログを取得する目的

監査ログを取得する目的について、以下3点を説明します。

• 原因究明の迅速化
• セキュリティ対策
• 管理業務効率化

原因究明の迅速化

1つ目の目的は、原因究明の迅速化です。

システム障害が発生したとき、どれだけ迅速に対応できるかがサービスの品質や信頼性を大きく左右します。

監査ログは、システム動作やユーザーの操作履歴を時系列で記録できるため、問題発生時に原因を素早く究明できます。具体的には、何が、いつ、どのように発生したのかを詳細に追跡することが可能です。監査ログを取得すれば、関連する問題点を見つけ出し、事象解決へと導きます。

セキュリティ対策

2つ目の目的は、セキュリティ対策です。

監査ログは、システム内の操作やアクセスを詳細に記録するため、セキュリティ対策としても有効です。不正アクセスの予防・検出には欠かせないでしょう。システムの異常な動き、不正なアクセスが検知された際、監査ログを参照すれば、迅速に原因を特定できます。

ログを取得することで監視を続けて、情報漏洩のリスクを減らすことが必要不可欠です。

管理業務効率化

3つ目の目的は、管理業務効率化です。

企業が扱うデータ量は年々増加し、システムが煩雑化するなど管理業務は年々複雑さを増しています。そのような中、システムに異常が発生してしまったら膨大なデータの中から原因を探ることになり、時間と労力がかかります。

そこで監査ログを取得すれば、システム管理者は、要点を抑えたログ情報を参照するだけで、問題の原因を特定できます。システムごとに細かなログを確認する手間を省けるのです。監査ログを活用することで、システム管理者の業務を効率化できます。

監査ログで取得できる主なイベント

監査ログで取得できる主なイベントは以下の通りです。

1. 管理イベント
   システム・サーバー管理者が行う操作のこと
2. ユーザーイベント
   システムのログインして操作するユーザーの行動
3. ログインイベント
   対象のサーバー・システムにログインしたという情報
4. ログアウトイベント
   対象のサーバー・システムからログアウトしたという情報
5. データエクスポートイベント
   システムのデータをローカルや外部システムにダウンロード・出力した情報
6. ユーザー・グループ情報変更イベント
   操作ユーザーがグループ情報を変更したなどの内容

上記は Google Workspace の監査ログで取得できる一部内容です。サービス・システムによって、取得できるイベントは異なりますので、注意しましょう。

監査ログの取得方法

監査ログの取得方法について、以下3点を説明します。

• アプリケーションサーバーとの同居
• 専用サーバの導入
• 監視ログを提供するクラウドサービスの利用

アプリケーションサーバーとの同居

1つ目の方法は、アプリケーションサーバーとの同居です。

対象のアプリケーションが稼働しているサーバー上に、監査ログ取得ツールやシステムをインストールする方法です。監査ログ専用のサーバーを用意する必要がないため、コストを抑えて導入もシンプルといった特徴があります。必要なツールをそのサーバーにインストールするだけで、ログの取得を開始でき、ネットワークを意識することもないため、直接かつ迅速にログを取得可能です。

注意点として、アプリケーションと監査ログ取得ツールが同じリソース（ CPU 、メモリなど）を共有するため、パフォーマンスに影響を及ぼす可能性があります。また、サーバーで障害が発生した場合、アプリケーションだけでなく、ログ取得ツールも影響を受ける恐れがあります。

したがって、導入する前に、サーバーのリソースや負荷状況に問題ないかを確認の上、適切な監査ログ取得ツールを選択することが重要です。

専用サーバを立てる

2つ目の方法は、専用サーバーを立てることです。

複数のサーバーの監査ログを取得したい場合、各サーバーからのログ情報を効率的に集め、一元的に管理するためには、専用サーバーを立てることが有効です。

専用サーバーを立てれば、複数のサーバーからの監査ログを集約し一括管理できます。これによりログ情報の確認や分析が簡単になり、異常検知やセキュリティ問題に迅速に対応できるでしょう。

一括管理することで、ログデータの整合性を保ちやすくなり、データの損失を防ぐことも期待できます。

専用サーバを立てる方法は、他の方法に比べて初期コストが多くかかる傾向にあります。そのため、予算や運用規模を元に、最適な監査ログツールの選定が重要です。

監査ログを提供するクラウドサービスの利用

3つ目の方法は、監査ログを提供するクラウドサービスの利用です。

自社でサーバーを立てて運用する場合、初期コスト・運用コスト、セキュリティ対策、バックアップ・システムの移行などの課題があります。クラウドサービスを利用すれば、これらの問題を効率的に解決することが可能です。

クラウドサービスは、セキュアな環境下でログを一元的に収集・管理できます。また、CPU やメモリ・ストレージなどのリソースを容易に増減できるため、柔軟に対応も可能です。

さらに、クラウドサービスは専門ベンダーが提供するため、自社が何もしなくても最新のセキュリティ対策やアップデートが定期的に行われ、安心して利用できます。

近年では、自社でインフラを構築するのではなく、契約するだけで利用開始できるクラウドサービスが注目されています。

監査ログならクラウドサービスもおすすめ

本記事では、監査ログの概要と取得できる主なイベント、取得方法について紹介しました。

これから監査ログを取得したい方は、アプリケーションにツールを同居しすることや専用のサーバーを立てる方法で検討している方も多いでしょう。アプリケーションに同居することは、パフォーマンス低下やシステム停止に影響を受ける可能性もあります。また専用のサーバーを立てることは、初期コスト・管理コストが膨大となります。

そのようなとき、監査ログを取得できるクラウドサービスを使えば、効率的に業務を行えます。

Google Workspace はグループウェアの機能を提供しながら、誰が、いつ、どこで何をしたかなどの確認に役立つ監査ログを記録します。ログを Google Cloud と共有することで、Google Workspace データの保存や分析・モニタリング・アラートも可能です。気になる方は吉積情報までお問い合わせください。

Google Workspace ・Google Cloud のお問い合わせはこちら