企業におけるログ監視は、問題を予見することができるのか

2014年02月27日 13:47

 株式会社リクルートマーケティングパートナーズが企業のIT担当者を対象に、ログの管理状況に関して行なったアンケートが26日までに公開された。

 企業におけるログの管理状況について、「取得、管理している」と答えた担当者が45.4%、「不明」31.7%、「取得、または管理していない」は22.9%となった。従業員規模別に見ると、1001名以上の大企業が53.7%、100名以下の中小企業は23.8%と約半数以下の割合。大企業と比較し、中小企業はログの取得・管理をしていないという実態が見える結果となった。

 またログの取得頻度は、「アラート発生時に確認する(不定期)」32.8%、「事件・事故発生時に確認する(不定期)」31.3%と、不定期および緊急時が64.1%と過半数を超え、「毎日確認している」と回答した担当者は9.7%にとどまった。

 報告によれば、標的型攻撃などで情報漏洩事件が相次ぐ際に事故を素早く察知したり、ログの証跡を元に犯人を突き止めたりして再発を防止するなどのために取得したログが使われている傾向があるという。

 実際、ログを監視することで問題を事前に予見できるのであろうか。

 ログからの問題の予見に関しては、「問題を予見したことはない」83.0%、「問題を予見したことがある」17.0%となった。また、実際の発見に関しても「問題を発見したことはない」83.1%、「問題を発見したことがある」16.9%となり、80%以上が実際にログをチェックしているものの、問題の予見・発見には至らないことを明らかにしている。

 ただし、全体の約17%が「問題を予見、発見したことがある」と回答しており、問題を予見した例としては、フリーコメントで「不正なアクセスがあることを確認し、大事に至る前にファイアウォールの設定でアクセス制御を施した」「ウイルス対策ソフトのアラートにより、クライアントPC内に隔離されたウイルスを手動で削除した」等の声が挙げられた。不正アクセスやウイルスを検知して大事に至る前に対策を施せたケースも見られた。

これらの結果から、危機管理としてのログ監視は漫然とチェックするだけでは不十分ということが伺える。不正アクセスやウィルス検知といった起こりうる問題を想定したうえで、ログ監視を行う必要があるようだ。(編集担当:堺不二子)