第１８２号コラム「証跡とログの区別～温故知新」

第１８２号コラム：佐藤　慶浩　理事（日本ヒューレット・パッカード株式会社
個人情報保護対策室　室長）
題：「証跡とログの区別～温故知新」

証跡という用語があるが、ログとの区別を付けていない場合がある。
ひどいときには、「証跡（ログ）」などと書かれていることがある。日本語だと漢字とカタカナでなんとなくあり得そうに見えるが、英語であれば、「trail(log)」と書いているわけで、異なる単語を同義語だと書いていることになり、それが如何に乱暴なことかは一目瞭然である。しかし、実は英語でもそういうことを書いてある場合がある。（笑）

IT技術者でも、証跡とログは、なんとなく違うとは思っていながら、その区別をはっきりと説明できる人は、実は意外に少ない。証跡は監査証跡という用語として使われることが多いために、それとアクセスログを並べて、目的が監査なのか、アクセス確認なのかの違いだと説明したりする。果たして、それは本当なのだろうか？ちょっと考えればわかるが、そんなはずがない。それらは証跡とログに付けた接頭辞の違いを言っているだけだ。そういうことを言う人には、「では、アクセス証跡と監査ログという用語は誤りですか？」と意地悪な質問をすることができる。
では、ぼくは知っているのか？知るはずがない。このコラムを書くために思いついたネタなのだから。
しかし、答えを知らないけれど、違う言葉を同義だと言ってみたり、接頭辞を付けて区別したフリをしてみたりすることが世のためにならないことは知っている。
そして、答えを知らないけれど、以下のように考えることはできる。

監査証跡の要件は、トラステッドOSでのアプリケーション設計をした人には、明確である。監査証跡は、WRITE　UPで保存されていなければならない。WRITE UPとは、ベル・ラ・パデュラ・モデルのOSにおいて、行為主体の持つセンシティビティレベルよりも高いセキュリティラベルの客体への書き込み権限のことを言う。

なんのことかさっぱりわからないという人は、とりあえず、追加書き込みしかできないファイルだと思えばよいが、ちゃんと理解するには、当研究会の「医療」分科会での解説を聞くとよい。
http://yosihiro.com/speech/index.html#2010-11-20 の「講演の録音」から聞くことができる。
トラステッドOSであれば、WRITE UPで書かれたファイルは、システム管理者であっても書き換えたり、読んだりすることすらできない。そのような状態で保存されていることが監査証跡の要件となっている。
そして、読み出し（やリセット）ができるのは、監査の役割を持つ者だけとなる。
これが監査証跡ではなく、アクセス証跡であれば、アクセス記録を確認する役割を持つ者だけになる。つまり、証跡の前に付ける接頭辞は、どの役割に参照権限を与えるかを示しているだけである。
WRITE UPで保存されていないものについての呼称の定めはトラステッドOSには特にないが、それらは、ログと呼ばれることになるだろう。

さて、それなら、この要件の違いが、証跡とログの違いになるではないかと思うかもしれないが、それはトラステッドOSの話である。

トラステッドOS以外のOSでも通用するための定義をどうすべきかが課題であるが、WRITE UP機能のないOSで実現するのは容易ではない。ただ、容易ではないからと言って、あるいは、トラステッドOSの知識のないコンサルタントもどき達が、「証跡（ログのこと）」と書くことを容認すべきではない。
証跡として必要な技術機能がないのであれば、「このOSでは証跡を取ることはできない。ログしか取れない。」と区別すべきだろう。その状況で、一定の運用要件を満たした場合に、「ログを証跡とみなして取り扱うことができる場合もある。」とするのならばよいかもしれない。少なくとも、ログを証跡と同義とする用法は、悪貨が良貨を駆逐するようなものである。
実のところ、トラステッドOSの強化機能をトラステッドOS以外で実現することは難しいが、そのコンセプトをアプリケーション・ソフトウェア階層で開発して用意することは難しくない場合もある。そのため、ワークステーション型では、OSによるセキュリティ機能の有無で実現可能性が決まることであっても、クライアント・サーバ型のアプリケーションの場合には、サーバ側のソフトウェア開発で実現できる場合も多い。

そのため、クラウド時代にトラステッドOSにおける証跡の要件をあきらめるのは尚早であり、温故知新はそこにある。

当研究会で、「証跡」の定義を「ログ」と区別して検討してみることは、有益でおもしろいテーマであると思う。

【著作権は佐藤氏に属します】