1.2.1 内部統制の証跡記録の一元管理
監査証跡管理システムでは,企業内に分散している業務サーバが出力する内部統制の証跡記録を収集し,一元管理します。この内部統制の証跡記録として出力されるログのことを監査ログと呼びます。監査ログを収集する対象サーバを監査ログ収集対象サーバ,監査ログ収集対象サーバから監査ログを収集して管理するサーバを監査ログ管理サーバ,と呼びます。また,収集した監査ログを一元管理するデータベースを監査ログ管理データベースと呼びます。なお,この監査ログのことを,製品によっては操作ログや動作ログなどの別の名称で呼ぶこともあります。
一元管理されている監査ログと,業務規則書や作業指示書などのさまざまな資料とを照合することで,「いつ」「だれが」「どこで」「何を」したかといった内部統制の評価や監査に有効な情報を確認できます。
監査ログの一元管理の概要を次の図に示します。
図1-2 監査ログの一元管理
![[図データ]](figure/zu010020.gif)
例えば,監査ログ収集対象サーバに対して行われた操作の情報を監査ログとして収集し,企業内の規則どおりに業務が実施されたかどうか,業務規則書や作業指示書などの資料と照合して確認できます。
- <この項の構成>
- (1) 監査証跡管理システムで管理できる情報の種類
- (2) 監査証跡管理システムで収集できるプログラムの種類
(1) 監査証跡管理システムで管理できる情報の種類
監査証跡管理システムで管理できる情報には,大きく分けて変更管理に関する情報,権限管理に関する情報,およびオペレーション管理に関する情報があります。
監査証跡管理システムで管理できる情報を次の図に示します。
図1-3 監査証跡管理システムで管理できる情報
![[図データ]](figure/zu010030.gif)
- 変更管理
- システム構成,業務処理,および製品の各定義についての変更内容や変更履歴を確認するための監査ログを管理します。
- 変更管理に関する情報には,JP1/AJSが出力するジョブネットの登録や各システムが出力する環境設定や定義ファイルの変更などが該当します。
- 権限管理
- ユーザ情報の更新,パスワードの変更,システムへのログイン・ログアウト,および高いユーザ権限を持つユーザの操作についての状況を確認するための監査ログを管理します。
- 権限管理に関する情報には,JP1/Baseが出力するJP1ユーザの登録・削除の操作や各システムが出力するログイン・ログアウトなどが該当します。
- オペレーション管理
- スケジュールの変更やジョブの実行についての操作履歴を確認するための監査ログを管理します。
- オペレーション管理に関する情報には,JP1/AJSが出力するジョブネットの再実行やカレンダーの変更などが該当します。
(2) 監査証跡管理システムで収集できるプログラムの種類
監査証跡管理システムでは,次の表に示すプログラムおよびOSが出力する監査ログを収集できます。
表1-1 監査証跡管理システムの収集対象プログラム
項番 | 分類 | 名称 |
---|
1 | プログラム | Collaboration |
2 | Cosminexus |
3 | HiRDB |
4 | Hitachi Storage Command Suite |
5 | JP1/AJS2 - Manager |
6 | JP1/AJS3 - Manager |
7 | JP1/Base |
8 | JP1/ITRM |
9 | JP1/NETM/Audit - Manager |
10 | JP1/NETM/CSC |
11 | JP1/NETM/DM |
12 | JP1/NETM/NM |
13 | JP1/PFM |
14 | JP1/秘文 |
15 | OpenTP1 |
16 | Oracle |
17 | TRUST E2 |
18 | uCosminexus Portal Framework |
19 | XDM/BASE E2 |
20 | 活文 NAVIstaff |
21 | OS | UNIXシステムログ |
22 | Windowsイベントログ |
各収集対象プログラムが出力する監査ログ情報を次に示します。
- Collaboration
- ユーザによる各種操作の記録など,Collaborationの監査ログを収集できます。
- Cosminexus
- サーバプロセスの起動・停止やプロセスへの通信・共有メモリへのアクセス状況に関する情報など,Cosminexusの監査ログを収集できます。
- uCosminexus Application Server Enterprise,uCosminexus Application Server Standard,uCosminexus Client,uCosminexus Service Platform,およびuCosminexus Web Redirectorに対応しています。
- HiRDB
- どのユーザがどのような権限を使用してどのような操作を行ったかなど,HiRDBの監査ログを収集できます。
- Hitachi Storage Command Suite
- ユーザの作成やログインの結果に関する情報など,Hitachi Storage Command Suiteの監査ログを収集できます。
- JP1/AJS2 - Manager
- ジョブネットの登録・変更やスケジューラサービスの開始・終了に関する情報など,JP1/AJS2のスケジューラログを監査ログとして収集できます。
- JP1/AJS3 - Manager
- ジョブネットの登録・変更やスケジューラサービスの開始・終了に関する情報など,JP1/AJS3のスケジューラログを監査ログとして収集できます。
- JP1/Base
- 認証サーバの起動・停止やJP1ユーザの登録・削除の操作に関する情報など,JP1/Baseの操作ログを監査ログとして収集できます。
- JP1/ITRM
- ログインやサービスの起動に関する情報など,JP1/ITRMの監査ログを収集できます。
- JP1/NETM/Audit - Manager
- 監査ログ収集対象の追加・変更・削除や監査ログ管理データへのアクセスに関する情報など,JP1/NETM/Audit - Managerの監査ログを収集できます。
- JP1/NETM/CSC
- セキュリティポリシーの設定や判定・アクションの結果に関する情報など,JP1/NETM/CSCの監査ログを収集できます。
- JP1/NETM/CSC - Agent,JP1/NETM/CSC - Manager,およびJP1/NETM/CSC - Manager Remote Optionに対応しています。
- JP1/NETM/DM
- JP1/NETM/DM Managerのサービス(Remote Install Server)の起動・停止やGUIを持つプログラムの起動・停止に関する情報など,JP1/NETM/DMの監査ログを収集できます。
- JP1/NETM/DM Manager,JP1/NETM/DM Client,およびJP1/NETM/DM Client - Baseに対応しています。
- JP1/NETM/NM
- ログイン,許可機器一覧,および固定機器一覧の編集に関する情報など,JP1/NETM/Network Monitor - Managerの監査ログを収集できます。
- JP1/PFM
- しきい値オーバーや通信の異常を知らせるアラーム発生やアラーム・アクション定義の作成・更新に関する情報など,JP1/PFMの動作ログを監査ログとして収集できます。
- JP1/PFM - Manager,JP1/PFM - Baseに対応しています。
- JP1/秘文
- 管理サーバやファイルサーバで管理者が実行した操作に関する情報など,JP1/秘文の監査ログを収集できます。
- JP1/秘文 Advanced Edition サーバに対応しています。
- OpenTP1
- トランザクションの開始・停止やクライアントのユーザ認証に関する情報など,OpenTP1の監査ログを収集できます。
- Oracle
- Windowsイベントログに出力されるOracleの監査ログのうち,ユーザの作成や権限の作成に関する情報を監査ログとして収集できます。
- TRUST E2
- VOS3システムの利用開始・終了やアクセスの失敗に関する情報など,TRUST E2の監査ログを収集できます。
- uCosminexus Portal Framework
- ユーザの作成・削除や,ログイン・ログアウトに関する情報など,uCosminexus Portal Frameworkの監査ログを収集できます。
- XDM/BASE E2
- 監査ユーザIDの設定・変更や重要情報へのアクセスに関する情報など,XDM/BASE E2の監査ログを収集できます。
- 活文 NAVIstaff
- ドキュメントの保護・印刷・閲覧に関する情報など,活文 NAVIstaffの監査ログを収集できます。
- UNIXシステムログ
- ログイン・ログアウトやユーザの権限変更に関する情報など,UNIXシステムログのセキュリティに関する情報を監査ログとして収集できます。
- Windowsイベントログ
- ログオンの成功・失敗やユーザアカウントの作成・変更・削除に関する情報など,Windowsイベントログのセキュリティに関する情報を監査ログとして収集できます。
また,JP1/NETM/Audit - Managerの監査ログ管理データベースに格納するための定義ファイルを作成することで,ほかのJP1シリーズ製品,日立オープンミドルウェア製品,およびその他のプログラムが出力する監査ログについても収集できるようになります。