/ コラム / By

コラム

Webアプリケーションシステムのセキュリティギャップ:
        アクセスログの取得が難しい理由とは

御社のWebアプリケーションシステム、”誰がどのデータを見たか” 記録できますか?

 社内のWebアプリケーションシステムを利用している多くの企業が見落としがちな点に、「データア
クセスの記録」という観点があります。果たして、御社のシステムでは、”誰が、いつ、どの個人情報
にアクセスしたのか” を把握できているでしょうか?情報漏洩事件が発生した際、そのアクセスログを
用いて調査・報告・対応が迅速にできる体制は整っているでしょうか?

 この問いに胸を張って”YES”と答えられる企業は、残念ながらそう多くはないのが現状です。特に、
現在主流の3階層Webシステムにおいては、その構造的な制約から、アクセスログの取得・監査には深
刻なギャップが存在します。本コラムでは、その技術的課題と背景を掘り下げ、セキュリティ対策とし
て企業がとるべきアクションを提案します。

目次

  1. 3階層Webシステムの構造が抱えるログ取得の壁 ▽
  2. 構造の問題点 なぜ「誰が」「何を見たか」が記録できないのか? ▽
  3. ログ生成だけでは足りない:監査機能の開発という重荷▽
  4. アクセス監査を軽視した結果、企業が失うもの ▽
  5. 現実的な解決策:自動で「記録」と「監査」を実現するには ▽
  6. まとめ ▽

1.3階層Webシステムの構造が抱えるログ取得の壁

 現在、多くの企業が利用しているWebシステムは、典型的な「3階層アーキテクチャ」によって構成
されています。すなわち、「クライアント(Webブラウザ)」「Web/アプリケーションサーバ」「データ
ベースサーバ」の三層に分かれている設計です。

 この構造は、スケーラビリティやメンテナンス性に優れる一方で、「データアクセスログ」の取得に
は致命的な課題があります。最大の問題は、クライアント(誰が)と、データベース(何にアクセスし
たか)が直接的に結びつかない点にあります。

 アプリケーションサーバがユーザー認証やセッション管理を担う一方で、データベースはアプリケー
ションサーバからのリクエストに基づき、データを返すだけの“黒箱”のような存在です。そのため、
「誰が、いつ、どのデータを見たのか」というログを自動的に残すことは、構造上非常に難しいので
す。

3階層Webシステムのセキュリティ上の課題

2.構造の問題点 なぜ「誰が」「何を見たか」が記録できないのか?

 問題の根幹には、“セッション管理”と“アーキテクチャ”の分断があります。

 Webサーバやアプリケーションサーバは、ユーザーのログイン情報を管理し、データベースへSQLク
エリなどのリクエストを発行します。しかし、DB側から見ると、同じアプリケーションサーバ経由で
のアクセスに見えるため、どのユーザーがどのデータにアクセスしたのかを判別できません。

 加えて、Webシステムは業務上、個人データや機密情報を「閲覧できるようにすること」が前提の設
計です。「見せない」ことではなく、「見せたことを正確に記録する」ことが求められるのです。にもか
かわらず、現実にはそのような詳細な記録はほとんどのシステムに存在しません。

データは見るためにあり、 個人情報であっても、見ること自体は悪い行為ではない

 

3階層Webシステムでも簡単にログ取得できるのがBlackBoxSuiteです

Webサイトに公開されていない資料をお
届けしています。
こんな方に最適な資料です。

社内システムのデータアクセスが心配
低コストでログ監査を導入したい方
真の情報漏洩対策を学びたい方
資料をダウンロード▶

3.ログ生成だけでは足りない:監査機能の開発という重荷

 「ログを生成するように開発で作り込めばよいのでは?」という声もありますが、話はそう単純では
ありません。まず、ログを正確に、かつ必要な粒度で取得するには、アプリケーションの全機能にログ
出力機能を組み込む必要があり、これは非常に大きな開発・テスト工数を要します。

 さらに問題となるのは、「ログの監査機能」の欠如です。大量に生成されたログを目視で確認するこ
とは現実的ではありません。ログを解析し、不審なアクセスや異常行動を自動で検出できる仕組みがな
ければ、結局「ログはあるが使えない」状態に陥ります。

 そして、多くの企業においては、アクセス監査に精通したエンジニアが社内に存在しないのが実情で
す。記録の設計から分析・報告までを内製で行うのは、現実的に非常に困難なのです。

ログは監査して初めて効果を発揮する

関連ページ

4.  アクセス監査を軽視した結果、企業が失うもの

 仮に情報漏洩事件が発生した場合、企業に求められるのは迅速な対応と説明責任の履行です。しか
し、アクセスログがない、あるいは断片的な場合、「何が起きたのか」「誰が関与したのか」を明確に説
明することはできません。

 この結果、顧客の信頼を失うだけでなく、個人情報保護委員会への報告やメディア対応、場合によっ
ては法的責任にも発展しかねません。被害額以上に深刻なのが、企業ブランドの毀損と、ビジネスへの
長期的影響です。

アクセス監査は、単なるセキュリティ対策ではなく、「信頼」を支える企業の基盤と言えるでしょ
う。

参考:【動画】情報漏洩の砦「BlackBoxSuite」で出来ること

3階層Webシステムでも簡単にログ取得できるのがBlackBoxSuiteです

Webサイトに公開されていない資料をお
届けしています。
こんな方に最適な資料です。

社内システムのデータアクセスが心配
低コストでログ監査を導入したい方
真の情報漏洩対策を学びたい方
資料をダウンロード▶

5. 現実的な解決策:自動で「記録」と「監査」を実現するには

 こうした課題を踏まえ、注目されているのが、自動的に「誰が」「どのデータに」「どのようにアクセ
スしたか」を記録し、かつそのログを自動で監査できるツールの導入です。

 BlackBoxSuiteは、Webアプリケーションに対して後付けで導入でき、ユーザーとデータアクセスの
関連性を記録し、定期的に監査レポートを自動生成することで、開発工数を最小限に抑えつつ高いセキ
ュリティ水準を実現します。

 これにより、3階層Webシステムにおける「記録されない」という構造的な課題を克服し、リスク検
知と抑止力を企業にもたらします。開発不要で実装できる点は、エンジニア不足に悩む企業にとって大
きなメリットです。

3階層Webシステムでは困難であったログ取得が可能に

6. まとめ

 3階層Webシステムの構造的制約により、企業の多くが「誰が、どのデータにアクセスしたか」とい
う最も基本的な情報を記録・監査できていません。アクセスログの不備は、情報漏洩時の調査を困難に
し、企業の信頼や存続すら脅かします。

 しかし、アクセス記録と監査を自動で行うテクノロジーの活用により、こうしたリスクを現実的にヘ
ッジすることが可能です。今こそ、セキュリティのギャップを埋める第一歩を踏み出し、企業のデータ
を「記録」という盾で守る時ではないでしょうか。

製品概要を見る▶
事例・活用シーンを見る▶

お問合せ

BlackBox Suiteは、多くの実績を持つ情報漏洩対策ソリューションです。
ご不明な点はお気軽にお問い合わせください。
利用用途やリスクに応じて、最適なご提案をいたします。

資料請求・お問合せ
パートナー募集
上部へスクロール