【無料で読める】ＳＥノウハウモニタリング編（機密性、完全性、可用性、サイバー等）: Ver2.0

『ＳＥノウハウ　モニタリング編（機密性、完全性、可用性、サイバー等）』は、一言で言えば、ＩＴにかかわる様々なリスクを検知し、低減・解消する業務ノウハウです。

企業のＩＴにかかわる対策では、ポリシー・手続き等のルール面を制定し、併せて、そもそも不適切な操作自体ができないようにシステムで制限をかけておくことが基本です。
しかし、完全な対策を施すことが出来ず、残る「残存リスク」についてはリスクの解消・低減を図る必要性があり、モニタリングは対策における最後の砦となる。

【目次】
1モニタリング
1.1.準備
1.1.1.用語
1.1.2.本書の前提（構成管理）
1.1.3.本書の前提（システム重要度評価）
1.1.4.本書の前提（ＩＤ・権限管理）
1.1.5.本書の前提（システムセキュリティ）
1.1.6.本書の前提（ＰＣ管理）
1.1.7.本書の前提（クラウド管理）
1.1.8.本書の前提（体制・役割）
1.2.モニタリングの対象の決定
1.3.ログ収集・管理
1.3.1.ログの出力対象（機器・構成別）
1.3.2.ログの出力項目
1.3.3.ログの一元管理
1.4.モニタリング業務
1.4.1.【共通】ログの監視
1.4.2.【共通】入退室監視
1.4.3.【共通】認証監視
1.4.4.機密性モニタリング
1.4.5.完全性モニタリング
1.4.6.可用性モニタリング
1.4.7.サイバー攻撃モニタリング
1.4.8.リモートアクセスモニタリング
1.4.9.その他のモニタリング
1.5.モニタリングレポート
1.6.【定期】モニタリングの変更
1.7.【参考】システム化（SIEM）について
1.7.1.システム化の課題・留意点

【冒頭（抜粋）】
1.モニタリング

モニタリングとは、ログ保管サーバーに収集した各種ログを横断的に確認し、情報漏えい、改ざん、障害、サイバー攻撃（あるいはその予兆や疑い）を検知し改善を施す業務である。

モニタリングのイメージを掴むために、身近な例として、クレジットカードの不正利用のモニタリングを紹介したい。
クレジットカードで、普段の利用と異なる高額な利用があった際には、クレジットカード会社から、本人による利用なのか確認の電話がかかってくることがある。これを実現するためには、クレジットカード会社は、日頃から個人毎の利用傾向の把握、カードを利用したロケーション（場所）情報等を蓄え、普段とは異なる「不正の疑いのあるカード利用」を複合的に検知し、電話連絡による本人確認をとおして、不正なカード利用を早期に発見している。

このように、モニタリングはリスクを検知し、リスクの低減に繋げることが出来る。
企業のＩＴにかかわる対策全般には、予防的対策（ＩＤ・権限管理、暗号化等）、発見的対策、コンチプラン等があるが、モニタリングは、「発見的対策」の一つである。ポリシー・手続き等のルール面を制定し、併せて、そもそも不適切な操作自体ができないようにシステムで制限をかけておくことが基本である。しかし、完全な対策を施すことが出来ず、残る「残存リスク」については、モニタリングを入れリスクの解消・低減を図る必要性が生じる。つまり、モニタリングは、対策における最後の砦である。

【補足】モニタリングが必要になる経緯
モニタリングには、残存リスクの解消・リスクの低減と言う本質的なメリットがあるが、外的な要因により実施する経緯は、以下のとおりである。

〇情報漏えい事故
2000年頃の大企業の個人情報漏えい事故を受けて、多くの企業がセキュリティ対策としてログ管理・モニタリングを重視するようになった。

〇個人情報保護法
個人情報の保護に関する法律（個人情報保護法）は、名前のとおり事業者が個人情報を保護するために順守すべき法律である。2017年5月に改正され、“対象の5,001件以上の個人情報を所持している事業者”は撤廃され、個人情報を保有する全ての事業者に適用される。
個人情報保護法では、安全管理措置が義務付けられ、モニタリングは、安全管理措置のうち、「技術的安全管理措置」の「情報システムの監視」への対策となる。

〇J-SOX
J-SOX（内部統制報告制度）とは、頻発する粉飾決算の対策として、2009年3月期決算から上場している会社が事業年度ごとに、「内部統制報告書」を有価証券報告書と併せて内閣総理大臣に提出することを義務付けたものである。J-SOXは、主として財務・会計の活動に適用されるが、それらを支える情報技術（ＩＴ）機能も対象となる。ログを定期的にレビューして、ポリシー違反の検知や、監査に備えてレビュー記録を保管しておくことが、J-SOXに対応していることの根拠となる。

〇マイナンバー制度
2016年1月からマイナンバー制度が施行された。その特長は、規模の大小にかかわらず全ての事業者が対象であることである。（マイナンバーをクラウドで管理すると言う手があるが、）全ての事業者が従業員のマイナンバーを管理しなければならない。
マイナンバー制度では、特定個人情報管理のために安全管理措置が義務付けられ、モニタリングは、安全管理措置のうち、「技術的安全管理措置」への対策となる。

1.2.モニタリングの対象の決定
モニタリングの意義は、補完的な統制を入れることによる残存リスクの低減・解消にある。一方、モニタリングの実行とそれにかかるコストはトレードオフの関係にある。トレードオフの中で営利を目的とする企業において大切なことは２点ある。１つ目はユーザー企業でどこまでのリスク低減を求めるのか、つまり、モニタリングをどこまで実施するのか方針を定めることである。２つ目は費用対（リスク低減）効果が高いものに対象を絞ることである。
本章では、方針策定にあたり考慮すべき要素と、費用対（リスク低減）効果において考慮すべき要素について述べ、そして、具体的なモニタリング対象例を記す。

＜方針策定において考慮すべき要素＞
モニタリングを含むセキュリティ投資は、投資に対するリターンがなく、リスク対応における損失・逸失損に対する予防となる。そのため、投資対効果と言ったものはないため、投資に踏み切りにくい特徴がある。
特徴を踏まえ、投資方針において大切なことは“バランスを保つ”ことである。
方針策定において考慮すべき要素は、以下のとおりである。

〇経営戦略、ビジネス戦略、ＩＴ戦略の投資のバランス
自社のビジネス上の優先事項を考慮した上で、経営戦略、ビジネス戦略、ＩＴ戦略の費用配分を定める必要がある。これを決定できるのは、経営層である。
例：売上げの1%をＩＴ費用

〇業務機能とセキュリティ投資のバランス
ＩＴ予算とセキュリティ予算を１つの部門・プロジェクトで管理すると、セキュリティ投資は費用対効果（リターン）がないため、ビジネスを推進する要素である業務機能の方に予算が偏り、セキュリティ予算は可能な限り削られることがある。
一方、ＩＴは使えて当たり前、動いて当たり前という要求を常に受けているＩＴ部門は、セキュリティ対策を担っても、同様にリスクをゼロにしようとする傾向がある。セキュリティ１００％を目指してしまう結果、やり過ぎのセキュリティに行きついてしまう。
このような問題に対し、セキュリティ対策が、ビジネス推進や開発プロジェクトの枠内での優先順位付けにならないよう、リスク管理の枠組みの中で考えることが大切である。

〇セキュリティ機能とモニタリング機能のバランス
セキュリティ機能は不適切な操作自体がシステム上できないようにする予防的対策である。一方、モニタリング機能は発見的対策である。対策としては予防的対策が優れるが、求めるレベルの対策が難しいものについては、発見的対策であるモニタリングを組み合わせる必要がある。

〇モニタリングとインシデント対応のバランス
インシデントの発生を抑制する対策（モニタリング）だけでリスクをゼロに近づけようとすると多大なコストがかかる。モニタリングだけではリスクがゼロにならないことを受け入れ、不測の事態は常に起こりうる「事故前提」のもと、何か問題が発生した際のインシデント対応にも力を入れ、モニタリングとインシデント対応のバランスを保つことが大切である。
 

＜費用対（リスク低減）効果で考慮すべき要素＞
モニタリング対象を選定する際に大切なことは、費用対（リスク低減）効果である。そのためには、まず、残存リスク（※１）を把握し、そして、残存リスクの大きいものに対するモニタリングのコスト（※２）を算出し、費用対（リスク低減）効果の高いものにモニタリング対象を絞る必要がある。

①残存リスク　※１
残存リスクとは、どれ程の損失・逸失損が発生する可能性があるのか、その発生可能性はどれ程なのかを考慮し、対策を施した後になおも残るリスクである。残存リスクの大きいものを把握する必要がある。

②モニタリングのコスト　※２
残存リスクに対するモニタリングのコストを算出する。ツールで簡単に実施できるものから、人手で実施し多くのコストが必要なものがある。
…