「桜を見る会」問題(2)
2020年1月24日、「桜を見る会」追及本部の第30回ヒアリングが行われた。相変わらず、サーバーのログ提出を拒否している。(2020/01/21 「桜を見る会」問題-「忖度官僚」-「知る権利」の侵害 参照)
公文書である「招待者名簿」の紙の名簿は廃棄されたかもしれないが、電子データ(電磁的記録)は保存されている可能性がある。「招待者名簿」の電子データも削除したというなら、その削除のログが残っているはずだが、そのログを提出しようとしない、(本当かどうかわからないが)調べようともしない。
今回は、ログについて概要を見ておきたい。(コンピュータに詳しい人に聞いてみたいのだが、ログを公開することはセキュリティ上問題があるのだろうか? 仮に問題があるとしたら、何が問題になるのだろうか? どの範囲だったら公開できるのだろうか?)
ログを取る目的*1
この図を見ると、①情報システムの利用状況の把握、②セキュリティ対策、③運用管理に分類できそうだ。
本件の「招待者名簿」の廃棄については、②に該当することになろうか。
セキュリティ対策としては、次の2つの目的があげられる。
- 不正(もしくはその兆候)の発見…特定のエラーや日常とは異なる状況(アノマリー)をログの検査を通じて発見すること。
- トレーサビリティの確保…例えば、何か事件が発生した際に、過去のログを調べて原因や事故の発生過程を調査、検証することができるようにすること。いわゆる「フォレンジック」につながる要素。
「招待者名簿」の廃棄は一つの「事件」である。その発生過程を調査・検証することは、ログの目的:「トレーサビリティの確保」に該当しよう。(「桜を見る会」追求本部、副本部長の原口一博は、トレーサビリティという言葉を使っていた)
ログの中身(種類)
「招待者名簿」の廃棄、即ちファイル削除(フォルダ削除)は、「通信や操作の内容、参照、記録した情報の内容」に該当しよう。
[「トレーサビリティの確保」目的の場合は]、認証の成功を含めてすべてのログが必要となる。事故の調査過程において、不正な侵入者はもちろん、正当なユーザーについても、いつ、どのような状況でログインしたかというような点まで調べることが必要になるからだ。
サーバーファイルの操作ログの詳細*2
システム管理者でなければログを見ることはないので、具体的にどのようなものなのかイメージできない。そこで検索してみると、次のようなものらしい。(表示形式は、ログ管理システムで異なるようだ)
「どのファイルサーバーに」「どのPCから」「誰が」「いつ」「どのファイルにアクセスしたか」を記録します。ファイルの読出、書込、削除、名前変更、EXEの実行を記録し、ファイルサーバーへの不正なアクセスを把握できます。
サーバーアクセスログの詳細
- [削除]ファイルの削除/移動
- [読出]ファイルのコピー/貼り付け、ファイルのプロパティを見る、ファイルを開く、エクスプローラーでファイルのポップアップメニューを見る
- [読出/書込]ファイルを編集する
- [書込]アプリケーションからファイルを開く/ファイルの上書きコピー(既存ファイル名と同一ファイルを上書きする)
- [名前変更]ファイル名の変更
- [実行]EXEの実行
「招待者名簿」を廃棄したのならば、「どのPCから」「誰が」「いつ」、当該ファイルを削除したのかがわかる。
「印刷ログ」もわかるだろう。
なお、内容の「改ざん」については、「読出」&「書込」のログの他に、最終版とされた日付後の「更新内容」の履歴を保有しているかどうか。
コンピュータに詳しい人なら、ログを書き換えられるだろう。システムに侵入した足跡を消すという話は、ドラマによく出てくる。ログ改ざん防止は、ログ管理システム選択の重要な要件だろう。
内閣府は、ログ書き換えを検討していたかもしれない(文書改ざんをしようとする官僚ならば、ありうる話である)。現在のところ、ログが出てこないのは、ログ書き換えができていないということかもしれない。
「公文書管理」については、次回とりあげたいと思う。
参考に、次の動画を紹介しておく。「桜を見る会」問題に関心のある人なら必見だろう。サーバーの話も出てくる。
三宅弘「桜を見る会問題と公文書管理」
*1:われわれは「なぜ」ログを取るのか (ITmedia エンタープライズ)より
*2:サーバー監視-ファイルサーバーを監視しセキュリティ監査に活用できます (LanScope Cat)より