情報セキュリティの6大要素の一つである責任追跡性は、ISO27001 規格ISMS 構築ではそこまで着目されるものではありません。 ISO 27001では、「ISMSは,リスクマネジメント プロセスを適用することによって情報の機密性完全性 及び可用性を維持し,かつ,リスクを適切に管理しているという信頼を利害関係者 に与える。」とあり、27000シリーズの 要求事項 である27001では「責任追跡性」というキーワードは一度も登場しません。

しかし、だからといって責任追跡性を維持しなくて良いかというとそういうわけでもありません。ISO27001の具体的な管理作をまとめたISO27002では、「特権を与えられた利用者に関する責任追跡性を維持するために,ログを保護及びレビューする必要がある。」――とあり、責任追跡性は維持するべきものとして認識されています。

さて、そんな責任追跡性とは一体どのようなものなのでしょうか?

情報セキュリティの責任追跡性とは

責任追跡性とは、「誰が何をやったかということを過去に遡って確認できる状態にあるか?」ということです。もう少し具体的な管理策に落とし込むと「アクセスログ、イベントログ、エラーログなどを記録し、保存できているか?」ということです。

責任追跡性はなんのために必要なのか?

ログを取得する理由は、「インシデントが発生した際に、誰の責任でこんなことになったのかということを追跡できる状態にしておく必要があるから」です。あるいは、システム障害が発生した際に、「何が原因だったのか」ということを遡って調査することができる状態を維持するために、責任追跡性を維持する必要があるのです。

どのようなログを取っておけば良いのか?

ログと一言で言っても、様々な種類のログがあります。例えば、アクセスログ。アクセスログは「このサーバーに誰がアクセスしたのか」というログです。「昨日の7時からインシデントが発生しているが、何が原因だったか」という責任を追跡するために、アクセスログを取得しておくことは望ましいでしょう。

通常の場合、NginxやApacheなどのミドルウェアがログを取得していますが、より確実な責任追跡性を維持するために必要に応じてアクセスログをデータベース化しておくことも必要かもしれません。

この他にも、ISO27002で責任追跡性が言及されている項目は2箇所あります。

パスワードの管理システムは,次の条件を満たすことが望ましい。

  • a) 責任追跡性を維持するために,それぞれの利用者ID及びパスワードを使用させるようにする。
  • b) 利用者に自分のパスワードの選択及び変更を許可し,また,入力誤りを考慮した確認手順を組み入れる。

JIS Q 27002

特権を与えられた利用者のアカウントの保有者は,その直接の管理下で,情報処理施設に関するログを操作することが可能な場合がある。したがって,特権を与えられた利用者に関する責任追跡性を維持するために,ログを保護及びレビューする必要がある。
JIS Q 27002

IDやパスワードに紐付けて、イベントログやアクセスログを取得することが必要であるとISO27002では記載されています。

ログの取得方法

以下では、Webサービスなどでログを取得する具体的な方法についてご紹介していきます。

ミドルウェアの機能を利用する

アクセスログやエラーログ、ワーニングログに関しては、ミドルウェアの機能を活用して取得する方法で十分な場合があります。

データベースで管理する

イベントログに関しては、Webサービスの種類によって性質が異なると思います。この場合はプログラム上で発生するイベントのトリガーを設置しておき、ログ情報をデータベースに追加していく形式が望ましいでしょう。

イベントログ用のテーブルを作成し、トリガーが発火するたびにSQLのINSERT文を実行するというものが最も簡単な方法です。

まとめ

今回は、情報セキュリティの責任追跡性について解説してきました。ISO27001では情報セキュリティの3大要素が重要であるとされていますが、6大要素、7大要素も無視できるものではありませんので、しっかりとISO27002に記載のあるような管理策を実行し、より高い水準のセキュリティを維持しましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。