4.1.5 システム監査によるシステムのセキュリティ確保

会計不祥事などの問題が多く発生する中で,組織には,内部統制の強化が強く求められています。

内部統制の目的は,いつ,だれが,どんな業務を実行したかを把握して,業務が各種法規制に準拠して遂行されていることを検証することです。このため,内部統制に対応するには,次のことが求められます。

これらに対応するためには,業務システムで,「だれが」「いつ」「何を実施したか」を監査し,監査結果を記録として管理しておく必要があります。

Cosminexusでは,次の機能を提供しています。

ここでは,これらの機能の概要を説明します。それぞれの機能の詳細については,マニュアル「Cosminexus 機能解説」を参照してください。

<この項の構成>
(1) 監査ログの出力
(2) データベースと連携した監査証跡情報の出力

(1) 監査ログの出力

Cosminexusで構築した業務システムでは,「だれが」「いつ」「何を実施したか」についての情報を,監査ログとして出力できます。

監査ログに出力されるのは,次の情報です。

Cosminexusでの監査ログ出力の概要を次の図に示します。

図4-4 Cosminexusでの監査ログ出力の概要

[図データ]

なお,Cosminexusが出力した監査ログは,JP1と連携して,Cosminexus以外の日立のミドルウェアが出力する監査ログとまとめて管理できます。

JP1との連携については,「8. ほかの製品との連携」を参照してください。

(2) データベースと連携した監査証跡情報の出力

Cosminexusで構築した業務システムのバックエンドでは,多くの場合,データベースが動作しています。データベースには,漏洩や改ざんが許されない重要なデータが多く格納されています。これらの情報は,適正なセキュリティ管理が行われ,厳重に管理される必要があります。

データベースには,「だれが」「いつ」「どのようなデータベースアクセスを実行したか」を示す情報を出力できるものがあります。この情報を,監査証跡情報といいます。

Cosminexusでは,データベースが出力する監査証跡情報に,アプリケーションサーバのどのリクエストでデータベースアクセスが実行されたのかを示す情報を出力できます。この情報とJ2EEアプリケーションで出力するログ情報などを組み合わせると,データベースアクセスが,Cosminexusのどのユーザの操作の延長として実行されたのかを追跡できます。

なお,Cosminexusが監査証跡情報を出力するために連携できるデータベースは,HiRDBです。

データベースと連携した監査証跡情報の出力の概要を次の図に示します。

図4-5 データベースと連携した監査証跡情報の出力の概要

[図データ]

この例では,システムの利用者(user01)がJ2EEアプリケーションを経由してデータベースにアクセスするときに,次の3種類の情報が出力されています。

これらの情報には,すべてリクエストを特定するための情報(ルートアプリケーション情報)が出力されています。監査者は,この情報を利用して,データベースアクセスがどのリクエストの延長として実行されたのか,そのリクエストを実行したのはどのユーザなのか,などを検証します。また,性能解析トレースを使用すると,そのリクエストがどのような流れで処理されたのかを検証することもできます。