ノウハウ 内部統制におけるログの保存期間とは?監査やセキュリティの観点で解説
投稿日:2024年11月21日
内部統制におけるログの保存期間とは?監査やセキュリティの観点で解説
企業にとって重要な内部統制の整備には様々な取り組みがありますが、その1つに「ログ管理」があります。
業務のデジタル化が進む近年、社内に蓄積された膨大なデータをいつまで・どのように保存すべきかは頭を悩ませるポイントです。
そこで今回は、内部統制の観点におけるログ管理のポイントやログの保存期間、ログ管理の効率化に役立つシステムなどについて解説します。
ログの保全・不正防止に重要な情報も記載していますので、ぜひ参考にしてください。
企業の内部統制にとってログ管理が重要な理由
企業におけるログ管理とは、パソコンなどの機器に記録された、業務上の行動履歴のことです。内部統制の観点で適切なログ管理が重要な理由としては、以下2つのメリットが挙げられます。
監査の際に必要な資料(監査証跡)となるから
監査証跡とはシステム監査の際に証拠として用いられる資料のことで、時系列に沿って「どんな操作が行われたか」「何が起きたのか」などを検証するログデータのことです。
万が一社内で不正や不祥事といったトラブルが発生した際、監査証跡がなければトラブルの原因や経緯の調査エビデンスを得られません。
必要なときに迅速に情報を引き出すため、常にログを時系列ごとに見直せる・検索できるように体制を整えておく必要があります。
また、世界的なセキュリティ基準や法律でも、特定のログデータの保存期間に関わる日数が定められています。
もしもの不祥事だけでなく、法的トラブルに発展した際の証拠保全という観点でもログデータの保存は重要です。
内部統制の強化につながるから
内部統制で必要不可欠な要素の1つに、「モニタリング」があります。
ここでいうモニタリングとは、内部統制が有効に機能しているかを評価するプロセスを指します。
テレワークの普及が拡大した近年、社内で勤務実態を調査することが難しい傾向にあります。
従業員の不正やミスによる情報漏洩を防ぎ、適切な業務遂行を可能とするためにはログ管理を通して実態を把握しておくことが大切です。
内部統制とは?
内部統制とは、企業の事業・経営目標などを達成するために、全従業員が遵守すべきルール・仕組みを整備することです。
会社法で定められた「大会社」の要件に該当する企業や上場を目指す企業は、内部統制が必須とされています。
それ以外の企業でも、以下の目的を達成するために内部統制を整備することが重要です。
・業務遂行の効率化 ・財務報告の信頼性の確保 ・コンプライアンス遵守 ・資産の保全 |
適切なログ管理のポイント
ログ管理において、「ログの保存期間」や「保存しておくべきログ」に悩むケースは多いです。
膨大なデータを抱えていると監査やトラブル発生時の調査に支障が出ますが、かといって保存期間が短かったり保存されているログが少なかったりすると、十分な調査エビデンスが得られません。
適切なログ管理を実現するためにも、以下のポイント押さえて保存期間や保存するログを定めましょう。
ログの保存期間は法令やガイドラインを参考にする
企業におけるログの保存期間について、参考になる条文を記した法令やガイドラインは複数あります。
それらを参考に、具体的な保存期間を定めると良いでしょう。
以下より、参考にできる法令・ガイドラインと、それぞれに記された保存期間を解説します。
法令で定められた保存期間
各種法令で明記されている保存期間に関する条文や規則は、以下の通りです。
法令 | 保存期間に関する条文・規則 |
通信履歴の電磁的記録のうち必要なものと特定し、30日を超えない期間を定め、これを消去しないように書面で求めることができる | |
公訴時効は3年(禁止されている行為の罰則が懲役5年未満にあたる罪に該当するため) | |
・電子計算機損壊等業務妨害罪の公訴時効は5年 ・電子計算機使用詐欺罪の公訴時効は7年 | |
監査証明を付した内部統制報告書はEDINET(金融庁ウェブサイト)上にアップロードし、5年間公開する |
上記は企業のログの保存期間そのものではなく、電子データに関して起こり得るトラブルの発生時、訴訟などの措置を行うために覚えておくべき期間と捉えて良いでしょう。
また、金融商品取引法においては、十分な投資判断ができるように上場企業から投資家へ資料を提供するよう定めた「ディスクロージャー制度」があります。
提供すべき資料は数多くありますが、そのうち監査証明を付した内部統制報告書は、金融庁ウェブサイトの「EDINET」で5年間公開される点も留意しておきましょう。
ガイドライン
「PCIDSS v4.0.1」では、監査証跡の履歴は「少なくとも1年間保持・最低3ヵ月は直ちに分析に利用できるようにしておくこと」と明記しています。
PCIDSSとは、クレジットカードの加盟店やサービスプロバイダにおいて、クレジットカードの会員データを安全に取り扱うために作成されたガイドラインです。
American Express・Discover・JCB・MasterCard・VISAの国際カードブランド5社が共同で設立した、「PCI SSC」が運用・管理しています。
カード情報漏洩の回避に役立つ具体的な要求事項が記載されているため、クレジットカード業界においてはこのガイドラインに準拠するメリットは十分にあります。
必要な情報を含むログと不要なログを選別する
内部統制を目的とするログ管理では、必要なログと不要なログの選別も必要です。
不要なログばかりが蓄積されては、効率的なログ管理は実現できません。
管理すべきログの特徴としては、以下のような情報を含むものが挙げられます。
・誰が実行したのか ・実行された処理の対象 ・実行された時間 ・実行された場所 ・実行された内容 |
「4W1H(Wat・Who・When・Where・How)」が分かる情報を含むログは証跡としての価値があるため、管理の対象になります。
セキュリティ強化と不正防止のためのログ管理とは
適切な期間・方法でログを管理していても、管理するログが不正なものであれば意味はありません。
ログ管理においては、改ざんやサイバー攻撃による情報漏洩など、不正・セキュリティリスクからログを守るための対策も講じる必要があります。
ここでは、安全にログを管理するためのセキュリティ強化・不正防止のポイントを解説します。
ログの保全と改ざん防止
デジタルデータの難点として、外部からの不正アクセスによる情報漏洩や意図的な改ざんのリスクを伴うことが挙げられます。
そのため、ログを管理する際は以下のような対策で悪意のある操作からログを守ることが大切です。
・ログデータの暗号化 ・改ざんを検知できる体制を整備する ・記録対象のサーバーとは異なるサーバーにログを保管する |
ログデータは暗号化し、外部からの解読が困難な状態にしておくと不正アクセスを予防できます。
万が一ログデータが改ざんされたときに備えて、改ざんされたらすぐにアラートが発せられる検知システムも活用するとさらに効果的です。
なお、検知システムが正常に機能し続けるために、常に最新のバージョンへアップデートしておきましょう。
記録の対象であるサーバーとは別のサーバーにログを送り、保存するという手もあります。
記録対象のサーバーが攻撃されて操作ができなくなっても、ログはすでに別のサーバーへ送られているため、改ざんされることはありません。
セキュリティポリシーの策定
重要なログの保全を強固とするためには、経営者やログの管理者だけでなく全社規模でセキュリティポリシーを共有する必要があります。
どんなログを・どんなリスクから・どのように防ぐのかという観点から、情報セキュリティを確保するための体制や運用規定などを定めましょう。
企業の場合、セキュリティポリシーには以下の内容を含めるケースが一般的です。
項目 | 内容 |
基本方針 | 企業として情報セキュリティに取り組む姿勢・理由・セキュリティの範囲・責任者など |
対策基準 | 基本方針に基づき、セキュリティ対策のために何を実施するのかなど |
実施手順 | 対策基準のルールに基づき、具体的にどんな手順で対策を実施するのかなど |
自社のセキュリティポリシーを全社で共有し、すべての従業員が「重要な情報を共有している」という当事者意識を持つことで、さらなるセキュリティの強化につながります。
企業が保存するログの種類
企業が保存するログには様々な種類があります。
以下の一覧表にて、企業で保存されることが多いログの種類と各ログの内容をご紹介します。
自社で取り扱う情報やログ管理の目的も加味して、管理対象のログを決定しましょう。
ログの種類 | 内容 |
操作ログ | パソコンやシステムなどを操作した記録 |
認証ログ | パソコン・システム・ウェブサイトなどのログイン履歴やエラーの記録 |
イベントログ | パソコンやシステムなどで生じた現象や動作(不具合・エラーなど)の記録 |
通信ログ | インターネットの通信・接続した記録・サーバーにアクセスした履歴 |
通話ログ | 通話や発信・着信の記録 |
セキュリティインシデントのログ | ウイルス検知や不正アクセス検知などの記録 |
ビジネスプロセスのログ | 電子メールの記録や業務プロセスの承認・却下の記録など |
ログ管理機能が備わったシステムでできること
管理の方法・期間・対象ログを決めたうえで、管理を手作業で実行するとなれば膨大な時間とコストを要します。
効率的かつ安全なログ管理を実行するなら、「ログ管理機能」が備わったシステムの導入がおすすめです。
ログ管理機能が備わったシステムは、パソコンやサーバーなどのログを自動で取得のうえ管理できます。
効率的なログ管理による内部統制の強化だけでなく、ログデータを分析のうえマーケティングに活かせる点も特徴です。
ログ管理専用のシステムもあれば、特定の業務効率化に有効であると同時にログ管理機能が付随しているシステム(電子契約システムなど)もあります。
以下より、内部統制の観点でのログ管理システムのメリットをご紹介します。
膨大なログを一元管理・保存できる
企業としての規模が大きくなるほど膨大なログが溜まっていき、その中から管理対象のログを取得すると、抜け漏れが発生する恐れがあります。
抜け漏れの可能性が拭えない体制におけるログは信憑性が低くなり、監査証跡における有効性という面でも懸念点になります。
システムを活用すれば、端末やサーバー内で実行したアクションの具体的な内容が時系列ごとに自動で記録されるため、抜け漏れの心配がありません。
フォーマットが異なるログも1つのシステムに集約され、特定のログが必要になった場合も簡単に確認できます。
不正アクセスにいち早く対応できる
今やあらゆる業界でインターネットの活用が必須とされていますが、インターネットに接続する異常は外部からのサイバー攻撃のリスクを伴います。
ログ管理システムでは、サイバー攻撃や内部の不正操作による不審な挙動を検知するとアラートなどで通知される機能が備わっていることが多いです。
これにより、不正アクセスが発生しても迅速な対応が可能になるため、被害も最小限に抑えられます。
また、「不正アクセスをいち早く検知のうえ対処できる体制が整っている」と社内に周知すれば、内部不正の抑止にもつながります。
適切な期間でのログ保存は内部統制において重要!システム活用で適切な管理を
ログ管理は、企業にとって重要な内部統制の構築で必要な取り組みの1つです。
しかしすべてのログを永久に管理することは現実的ではなく、管理対象のログと保存期間を定めておく必要があります。
ガイドラインや関連する法令を参考に、ログの保存期間を定めると良いでしょう。
ログ管理を効率化したい場合は、ログの取得・一元管理が可能なシステムの活用がおすすめです。
