セキュリティソフトの会社である「網屋」社のブースで、サーバーのアクセスログ取得システムについてお聞きしました。

プライバシーマークの審査基準の一つに、「個人情報を取り扱うシステムのアクセスログを取得して定期的に確認すること」というのがあります。

これは、ウェブサイトで個人情報を取得する際の通信の暗号化と並んで、必ずやらないといけない対策の一つになっています。

個人情報を大量に取り扱う会社だとデータベースのアクセスログを取っておけばいいのですが、普通の会社の場合にはそんなものはなく、大半の個人情報はファイル共有サーバーにおかれてます。

linuxサーバーを使っている場合には、簡単な設定で共有ファイルへのアクセスの記録を取得することができます。

しかし、なぜかWindowsサーバーの場合には、これがそう簡単にはいきません。イベントビューアーというところに、利用記録が残りますが、人間の目で見ても意味を把握することは困難です。

ですから、多くのプライバシーマーク取得事業者においては、「イベントビューアーで見てまーす」と言ってごまかしているケースが多いと思います。でも、実際にはこれで異常事態が起こっているのかどうかを知る事は困難であり、あくまで審査対策としてそう言っていることになると思います。

というような話をしていると、「うちの製品でそれができます！」という元気な御返事が帰ってきました。すばらしい！

同社の製品では、イベントビューアーの記録をもとに、「誰が、いつ、何のファイルを、作ったか、見たか、変えたか、消したか」という内容を大変見やすい形式に加工してくれて、ウェブの画面で検索したりできます。

これは素晴らしい！で、最小構成でのお値段は？と聞くと、サーバー5台分で初期費用100万円という。残念ながら、高い！

プライバシーマークの取得事業者といっても、サーバーが一台しかないという会社も多く、もう少し小規模な契約もご検討くださいというお話をして、同社のブースを離れました。

※もちろん、同社でも小規模事業者向けのライセンスも検討されてるようですが、顧客数がヒトケタ増えることが見込まれるため、サポート人員の確保を進めながら、段階的に対応していくとのことでした。堅実な対応だと感心しました。。。。