ITIL
各種処理を時系列に記録する
統合管理運用ツールは、企業にとってもはや避けて通れない要件となっている内部統制監査を行う際にも威力を発揮します。特に作業の実績をチェックする際に重視されるのが監査証跡です。監査証跡は監査トレイル、オーディットトレイルとも呼ばれます。
一般的には、利用者が行った操作や情報システムが行った処理内容、処理対象や処理過程のデータなどをそのまま時系列に記録したデータのことを監査証跡と言います。監査人は情報システム監査において処理が適切に実行されたかどうかを確認しますが、その際に閲覧されるデータが監査証跡です。内容的には一般的なログとほぼ同じものですが、特殊なアクセス権が設定されたファイルに保存されるようになっているケースもあり、その場合は監査人以外は編集や削除ができません。これはシステム管理者であっても同様です。
実際に統合運用管理ツールを選ぶ場合は、システム変更やサーバー操作・クライアント操作などに関わる監査証跡を収集したり管理する機能の有無、変更作業の承認とシステム変更のログなどを対応付ける機能の有無を考えることになります。
監査証跡を活用する
監査証跡をどのように扱うかは統合運用管理ツールによって違いがあります。例えば運用ルールに沿って作業がなされているかどうかをチェックするにはログの管理や分析機能が重要になりますが、統合運用管理ツールによって各ソフトの内部にログを保存するだけのものからツール全体のログを横断的に分析できるものまで、様々です。サーバー操作やクライアント操作といった運用実績に関する監査証跡まで管理するツールの場合は、最初から内部統制の監査を前提に作られています。さらに監査機能を強化するため、変更作業の承認と構成情報、システム変更のログなどまで紐付けたツールもあります。こういった機能は個々のソフトが備えている場合もあれば、独立した専用製品として提供されている場合もあります。変更作業の承認と同時に、実際に承認通りに作業が実施されたかどうかをログから確認できたりするので、監査作業の効率が上がります。
統合運用管理ツールには、標準で設定変更、登録、削除などの操作を監査証跡としてファイルに保存できるようになっているものがあります。
Redmineでも証跡・履歴の管理は可能です。メールによる問合せなどを自動登録で取り込むことができますし、監視ツールから上がってくる障害を自動登録するツールも開発されています。
