【解説】
米国企業の現状に学ぶコンプライアンス・コスト

法規制の増加を見据え、長期的な視点でIT投資を考える

（2008年06月27日）

ログ・モニタリングはいまだに手作業が多い

　ログの取得は、コンプライアンスの要諦とも言える。ネットワーク、システムおよびアプリケーションの構成、そしてアクティビティに関するログを取得し、十分な監査証跡を残すことは、コンプライアンス違反がないことを証明するために不可欠である。
　現在、ログ解析精度の向上を背景に、ログを集約するという手法が急速に広まっている。回答者の64％は多くのソースからログを取得し、解析／保持のためにそれらを集約している。そのうちインフラ関連のログ（サーバ、ルータ、ファイアウォール）をすべて取得しているという回答は半数近くに上り、なかには、デスクトップ・ログまで収集している回答者もいた。

　ログ集約の有無にかかわらず、回答者の90％は手作業、もしくはツールを使ってログのモニタリングを実施している。このうち少なくとも4分の1は就業時間中（9:00～17:00）のみか、より短い時間に限定してモニタリングを行っている。

　その一方で、ログに記録されているイベントをリアルタイムで解析し、何らかの異常が認められたときに直に対応しているという回答者も半数に上った。こうした仕組みは一般的に、IDS/IPSや、そのイベント・ログを取得するシステム内のアラート機能を使って運用されているケースが多い。また、約4分の1の回答者は、専用のログ管理システムや本格的なセキュリティ情報／イベント管理（Security-Information and Event Management：SIEM）ツールを使っている。

　コンプライアンスと電子開示に備えて、回答者の約78％は収集するログの一部、もしくはすべてをアーカイブしている。この方法では、たとえ重複する情報を減らすログ正規化システムを使ったとしても、ストレージ容量がすぐに不足してくる。膨大なディスク・スペースを消費するにもかかわらず、このアーカイブ・データがログ管理とセキュリティという当初の目的以外で使われることは皆無に等しい。回答者の3分の2は、ログに対するデータ・マイニングなどをまったく行ったことがないと回答している。

支出がもたらすメリットを考慮して対策を進める

　支出額がいくらになるのかは、コストに関する問題の半分にすぎない。本当に難しいのは、その支出から生まれるメリットを明らかにすることだ。

　コンプライアンスのための取り組みは、そのコストに見合ったROI、つまり見返りは期待できない。リスクや損失、無駄なコストをいかに回避するかを考えるだけなのだ。

　だが、その定義は困難である。考えられる1つの方法としては、法令を順守できずに罰金を科せられる確率と、その予想金額を見積もることだ。

　今回の調査に参加した大手メーカーは、1つのバックエンド・システムについて、監査を控えているからといって、すぐにアクセス制御を追加するなどのアップグレードを実施するのは無駄だと判断した。そのシステムは2、3年後にアップグレードが予定されていたため、同社はあえてコンプライアンス違反の罰金を支払うことを選んだのだ。

＊　　＊　　＊

　コンプライアンスのための取り組みをリスク管理として見れば、罰金や法的制裁、業界団体からの追放、さらには情報漏洩に伴う顧客の離反といった、コンプライアンス違反の発覚時に見込まれるリスクに対して、回避策をいかに打ち立てていくのかという活動になる。

　企業は、プロセスの改善、特に社内監査の遂行に力を注ぎ、定義したプロセスが適切に運用されるようにしなければならない。監査の必要性は理解していても、重要なのは、コンプライアンス・ポリシーを社内できちんと順守できるかどうかである。

　また、コンプライアンスの要件と、利用頻度がほぼゼロになったデータを消去することのリスクを比較しながら、データ・アーカイブのポリシーを定義、もしくは再評価すべきである。そうしたデータの提出を求める訴訟の可能性があると法務部門が判断した場合、IT部門は、アーカイブを永久保持するために必要となるコストを的確に算出できなければならない。

（月刊Computerworld 2008年2月号に掲載）

前のページへ < ｜1｜2｜3｜4｜5｜6｜