情報セキュリティの6大要素の一つである責任追跡性は、ISO27001 規格ISMS 構築ではそこまで着目されるものではありません。 ISO 27001では、「ISMSは,リスクマネジメント プロセスを適用することによって情報の機密性完全性 及び可用性を維持し,かつ,リスクを適切に管理しているという信頼を利害関係者 に与える。」とあり、27000シリーズの 要求事項 である27001では「責任追跡性」というキーワードは一度も登場しません。

しかし、だからといって責任追跡性を維持しなくて良いかというとそういうわけでもありません。ISO27001の具体的な管理作をまとめたISO27002では、「特権を与えられた利用者に関する責任追跡性を維持するために,ログを保護及びレビューする必要がある。」――とあり、責任追跡性は維持するべきものとして認識されています。

さて、そんな責任追跡性とは一体どのようなものなのでしょうか?

情報セキュリティの責任追跡性とは

責任追跡性とは、「誰が何をやったかということを過去に遡って確認できる状態にあるか?」ということです。もう少し具体的な管理策に落とし込むと「アクセスログ、イベントログ、エラーログなどを記録し、保存できているか?」ということです。

責任追跡性はなんのために必要なのか?

ログを取得する理由は、「インシデントが発生した際に、誰の責任でこんなことになったのかということを追跡できる状態にしておく必要があるから」です。あるいは、システム障害が発生した際に、「何が原因だったのか」ということを遡って調査することができる状態を維持するために、責任追跡性を維持する必要があるのです。

どのようなログを取っておけば良いのか?

ログと一言で言っても、様々な種類のログがあります。例えば、アクセスログ。アクセスログは「このサーバーに誰がアクセスしたのか」というログです。「昨日の7時からインシデントが発生しているが、何が原因だったか」という責任を追跡するために、アクセスログを取得しておくことは望ましいでしょう。

通常の場合、NginxやApacheなどのミドルウェアがログを取得していますが、より確実な責任追跡性を維持するために必要に応じてアクセスログをデータベース化しておくことも必要かもしれません。

この他にも、ISO27002で責任追跡性が言及されている項目は2箇所あります。

パスワードの管理システムは,次の条件を満たすことが望ましい。

  • a) 責任追跡性を維持するために,それぞれの利用者ID及びパスワードを使用させるようにする。
  • b) 利用者に自分のパスワードの選択及び変更を許可し,また,入力誤りを考慮した確認手順を組み入れる。

JIS Q 27002

特権を与えられた利用者のアカウントの保有者は,その直接の管理下で,情報処理施設に関するログを操作することが可能な場合がある。したがって,特権を与えられた利用者に関する責任追跡性を維持するために,ログを保護及びレビューする必要がある。
JIS Q 27002

IDやパスワードに紐付けて、イベントログやアクセスログを取得することが必要であるとISO27002では記載されています。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ログの取得方法

以下では、Webサービスなどでログを取得する具体的な方法についてご紹介していきます。

ミドルウェアの機能を利用する

アクセスログやエラーログ、ワーニングログに関しては、ミドルウェアの機能を活用して取得する方法で十分な場合があります。

データベースで管理する

イベントログに関しては、Webサービスの種類によって性質が異なると思います。この場合はプログラム上で発生するイベントのトリガーを設置しておき、ログ情報をデータベースに追加していく形式が望ましいでしょう。

イベントログ用のテーブルを作成し、トリガーが発火するたびにSQLのINSERT文を実行するというものが最も簡単な方法です。

まとめ

今回は、情報セキュリティの責任追跡性について解説してきました。ISO27001では情報セキュリティの3大要素が重要であるとされていますが、6大要素、7大要素も無視できるものではありませんので、しっかりとISO27002に記載のあるような管理策を実行し、より高い水準のセキュリティを維持しましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ