USBなどの外部記憶媒体への書き出し、添付ファイルを含む送信メール、プリンターへの印刷などの操作ログを絞っているとはいえ、それぞれの操作ログは毎日ものすごい量でしたが、ポイントは、操作ログのその見方にありました。

操作ログを毎日どのような見方をするか説明する前に、会社の情報を社外に持ち出そうとしたときには、どんな時間にどのように行うかを考えてみます。

会社の情報を持ち出す行為はお金を直接的に盗み出したり使い込んだりするわけではありませんが、会社から持ち出した情報はその情報を大きな価値に変えられる人たちに渡ってしまうことで、会社に大きな損害を与えてしまいます。

そもそも盗みなどの行為は、他人に見つからないような「時」に、しかも短い時間に「多く」の価値を持ち出したいと考えるのではないでしょうか。また会社の情報を外部へ持ち出そうと思うようになるのは、会社や上司に対してなんらかの恨みをもったときや、退職への動きを始めた時に起こりやすいのではないでしょうか。

会社や上司への文句が多くなっている人は、社内チャットのログ解析でわかるかもしれませんが、日常の勤務状況（勤怠管理サービス）とPC操作ログを付け合わせると、従業員の退職意識などが見えてくるかもしれません。

上記のことを踏まえて、毎日の操作ログの見方について検証してみます。

ファイルの書き出しや添付ファイルの送信、印刷する操作について、毎日操作ログを見ているとわかることがあると言います。このような操作ログは、ほとんどが同じ組織の同じ人のＰＣからの操作ログだそうです。また、その人の業務が日々それほど変わらないことから、毎日ほぼ同数の操作ログが確認できるそうです。

つまり、ほぼ同じ状況の操作ログなので、毎日それほどの時間をかけずに確認ができるそうです。

そんな中で、いつも登場しない従業員のPCが突出した操作ログが現れるそうです。こういう時の操作こそが、前述した短い時間に多くの情報を持ち出す瞬間である確率が高いそうです。そういう操作ログの詳細を詳しく調べることになるそうです。もちろん通常の仕事の中で短い時間に多くの情報を添付しなければならないこともあります。これは詳細の操作ログを調べることと、それによるその操作を行った人へのヒアリングを行うことで真偽が判明するそうです。

このように操作ログをある一定の見方で毎日短時間で確認する方法がないかと模索した結果生まれたのが、ISMLogAnalyticsです。

ISMLogAnalyticsは、外部デバイスへのファイル書き出しログ、印刷ログ、添付ファイルメール送信ログ、インターネットサイトへのファイルアップロードログを一週間単位で操作が多い順に棒グラフでランキング表示しました。このランキング表示は上部に設置したスライダーを使ってランキング表示期間を変更できます。ランキング表示の期間変更によってランキングに登場する従業員のPCが変わります。そしてそのランキングの中に突出した操作ログ数としてランキング一位に表示されるPCが見つかります。

このPCの操作ログこそが、前述した情報持ち出しの可能性があると言えるのです。表示された突出した棒グラフをクリックすることで、その操作ログすべてが一覧で表示できます。これによってその操作ログが不信なものか判明に役立てます。

ISMLogAnalyticsは、今までの定説だった「ログは保管して、インシデント時に調査するもの」という概念を変えてしまう操作ログ管理ツールと言えます。

It's only fair to share...
00