Active Directory（以下AD）、Microsoft Exchange（以下Exchange）、ファイルサーバなどのログを管理しており、一般ユーザーを含めたすべての操作ログを取得しています。特に特権IDで承認外の不正な操作が行われていないかという点を特に重視しています。

ALog導入以前から内部統制管理としてのログ管理は実施していましたが、サイバーセキュリティ基本法の制定などがあり、企業としてこれまで以上の内部統制とログ管理を求められるようになりました。しかし、システムが出力したままの生データをチェックするこれまでのやり方では十分に対応できないため、なんらかのシステム投資をしないといけないという判断になりました。

ALogは、Exchangeのログを見やすくレポーティングできた唯一の製品だったからです。これまで毎日のように生のイベントログを見てきたので、条件付けして簡単にレポートを出力させることが重要だと痛感していました。

ログを溜めるだけであれば他社製品でも事足りますが、レポートを作るのに手間がかかるなど、使いこなすのにも苦労しそうでした。ALogはGUIがわかりやすく直感的なので、その点も選定理由の一つです。

特権IDによる操作ログを中心にレポートを作っています。

事前に「特に注意が必要な管理者操作」を定義したうえで、定期的にレポーティングをしています。

たとえばExchangeでは、「SET」「GET」「REMOVE」「ADD」などのイベントを抽出し、ユーザーの作成・削除、メッセージの削除などの管理者操作を記録しています。同様に、ADサーバからも、ユーザーの追加やパスワードの変更、属性変更などをレポートし、承認外の管理者操作がないか？ といった自己正当性の証明として活用しています。

以前までは、一部のみを抽出する「サンプリング方式」でチェックしていました。それでも、生ログは量が膨大なので、証跡のログの印刷や承認証跡と照合チェックする手間が大変でした。

加えて、「サンプリング方式では（すべてのログをチェックしていないため）不十分ではないか？」という問題意識もありましたね。

ALogは一度条件を設定してしまえば、一定の品質のレポートが定期的に自動出力されます。以前は1～2件のサンプルチェックだけでも、週に3時間程度かかっていました。今はすべてのログを対象にしても、以前の半分の時間で済むので、非常に助かっています。また、ALogは異なるシステムのログでも、時間軸をそろえてチェックすることができます。時間外の操作はないか、承認されていない操作がないかなど、システムを横断してログをチェックする必要がある際に、とても便利です。

実は......あまりにシンプルで使いやすく、手離れがよかったので、かえって精度が心配になり、ログを全件チェックし検証しました。結果は満点。完璧さに驚きました。

運用フェーズのトラブルもほとんどありません。ALogはSQL Serverのようなデータベースを使っていません。そのため、連携製品由来のトラブルもなく、またバッチ処理の失敗頻度が非常に少ないです。従来、ログ保管作業に関して度重なるトラブルに悩まされていたことが嘘のようです。非常に満足しています。