クラウド環境における「監査ログ」の管理

昨今、スタートアップ企業のお客様を中心に「監査ログ」に関する質問を受ける機会が増えてきています。背景には、契約しているクラウドサービスによって収集できる「監査ログ」の種類や保存方法・保存期間などが異なること、IT全般統制（ITGC）の評価に必要な「監査ログ」がどのようなものなのか一般にはあまり知られていないことがあるようです。
そこで、本稿では、「監査ログ」を「ITGCの評価に必要なログ」と定義し、その内容を明らかにしたうえで、クラウド環境を前提とした監査ログの管理について、留意すべき点を概説します。SaaSの会計システムなどを利用している企業の経理担当者様や情報システム担当者様の参考になれば幸いです。

ITGCの評価は、会計システムおよびその周辺システムのアクセス管理や運用管理が、会計期間を通じて適切に実施されていたか、という観点で行われます。そのため、監査法人は、主に以下のような監査ログの提供を求めてきます。

• ユーザーの追加・変更ログ：
  職務権限に照らしてシステムを操作すべきでない者がユーザーに追加されていないか、逆に退職者のアカウントが削除されているか（残存していないか）を検証するために用いられる監査ログです。定期的な棚卸しだけでは、期中のユーザー変更を網羅的に把握することができないため、監査法人から提出を要求されることがあります。
• ロールの変更ログ：
  正規の手続きで登録されたユーザーであっても、職務権限上不適切なロールが付与されていないか、検証が必要です。例えば、一般の経理部員に対して、ユーザーの追加ができる権限が付与されている場合、登録手続きがバイパスされてしまいます。そのため、ロールの変更ログも監査法人から提出を要求される場合があります。
• 特権管理者の操作ログ：
  システム上のあらゆる権限を保有している特権管理者によって、不正な操作が行われていないかを確認するためのログです。会計システム特有の論点として、承認後の仕訳を特権管理者が削除・変更できる場合があり、仕訳の変更履歴が検証対象となります^※。

※仕訳の変更履歴がユーザー側で解析できないケースなどでは、より広範なイベントログの提出を求められることもあります。

上記以外に一般的な監査ログとしては、データベースの操作ログが挙げられます。しかし、SaaSなどクラウドサービスの場合、アプリケーションを介さずにデータベースを直接修正することは事実上不可能であり、会計数値に影響することはほとんどないため、監査法人から提供を求められることは基本的にありません。

クラウドサービスの場合、デフォルトまたは簡単な初期設定を行うことで容易に監査ログを収集することができます。ただ、収集した監査ログをどこに保存するか、という点は非常に重要な論点であり、以下の要素を中心に検討が必要です。

• データの改ざん、漏洩、消失対策：
  収集した監査ログの改ざんや、漏洩、消失は、絶対に避けなければなりません。そのため、保存先（ストレージサービス）がどのような対策を講じているか、具体的にはどのような暗号化やアクセス管理の方策が用意されているかを確認する必要があります。
• 料金体系：
  優れたストレージサービスであっても、予算に収まらなければ契約できません。料金体系を詳細に確認し、保存容量の想定、データへのアクセス頻度に加え、後述する保存期間を考慮し、自社にとって最もコスト効率の良いサービスを契約する必要があります。

次に、監査ログの保存期間を検討します。監査ログをいつまで保存する必要がある（保存できる）のかは、実務上の大きな論点です。この点、監査基準上、監査ログの保存期間は明示されていないため、他の法令やクラウドサービスの契約などを参照しながら検討する必要があり、下記のとおりいくつもの選択肢が考えられます。

• 1カ月（30日）：
  まず、30日の場合を検討してみましょう。この日数が候補に挙がる根拠は刑事訴訟法に通信履歴の保存期間の定めがあるためですが、1年間を対象とする通常の監査期間と比べると、十分ではありません。コスト面だけを考えると魅力的ですが、毎月自動的に監査法人に連携する設定にできない限り、採用することは難しいと考えられます。
• 3カ月（90日）：
  次に、90日の場合を検討します。多くのクラウドがデフォルトでこの日数を設定しており、サイバー犯罪に関する条約に根拠を置いています。30日の場合と同様、通常の監査期間と比べると短いですが、四半期決算の監査の際に監査法人に提供することを合意できれば、実現可能な選択肢といえます。
• 1年（360日）：
  通常の監査対象期間と平仄が合い、監査法人との会話もスムーズです。ただし、1年＝360日と設定されることが多く、厳密には1年間の全日をカバーできないため、一定の工夫が必要になります。
• 3年以上：
  不正アクセス禁止法の時効が3年、金融商品取引法の内部統制報告書および訂正報告書の保存期間が5年など、より長期の保存を求める法律も存在します。ただ、監査法人が、過去3年まで遡及して監査ログの提出を求めることは、ほとんどありません。毎期の監査に誠実に対応している限り、少なくとも監査上の要請からは3年以上保存する必要性は低いと考えられます。

今回は、クラウド環境を前提にITGCに関連する監査ログについて概説しました。監査法人の立場からは監査ログはできるだけ長期にわたって入手できることが理想ですが、現実にはシステムの仕様やコストなど種々の制約とリスクを考慮し、一定の妥協点を見出す必要があります。また、監査ログは、あくまでも過去の記録ですので、監査対象期間全体をカバーするためには、当該期間の前に設定をしておく必要があります。直近の期末監査へ対応しつつも、時期を見据えて監査法人とコミュニケーションを取ることが推奨されます。