うちの会社も部署異動が多い部類だと思いますが、偶然にも(?)私はアイデンティティ管理製品に６年以上関わっています。当時、シングル・サインオンという言葉は今ほど当たり前のようには使われておらず、少なくとも製品説明の場では「技術的にどのように実現するものなのか」と言った事から説明しなければなりませんでした。質疑応答の場でも、アーキテクチャやパフォーマンスといった技術的な会話が多かったものです。気に入って頂いて、検討が進むと「ログ」について質問を受けることもありましたが、そのときのポイントは、エラーログのレベルやフォーマットでした。（おそらくシステム監視ツールとの連携のための質問だったのでしょう）

それに引き換え、最近では必ず「ログ」について話題が及びます。もちろん、企業は内部統制を目的に導入するケースが多いので当たり前ではありますが、ログに関して何を聞かれるか、というと、やはり一番多いのは「アクセス制御においてどんなログが出力されるか」ということです。各企業、口を揃えて言うのは「誰が、いつ、どこに対してアクセスしたのか、を残したい」です。
この質問は非常に多くのお客様から頂きます。特にその傾向は“大企業であればあるほど強い”ように感じます。これは大企業になると内部監査室のような部署が設置され、担当者から指示が下るからのようです。でもなぜか“それ以上”については求められません。

Sunのアクセス管理製品であるAccess Manager(オープンソース版：OpenSSO)では当然、アクセスログを含めたアクセス制御のログが残ります。今時のアクセス管理製品であれば、ほぼすべての製品で実現可能だと思います（たぶん）。そして、それに加えて、システム変更のログも残るようになっています。これは非常に重要な点です。
例えば、ID/アクセス権の管理を徹底していて、アクセス制御の仕組みも導入していたとしても、誰かがアクセス制御のポリシー自体を間違って変更してしまったら、不適切なアクセスによりデータを改ざんされてしまうかもしれません。ID管理システムを導入してIDの管理はすべて自動化されたとしても、アクセス制御のポリシー管理までは自動化されませんし、データを改ざんされ、ビジネスに影響を与えてしまった後にアクセスログからデータの改ざんを誰が行ったかを把握しても、それこそ後の祭りなわけです。

Access Manager/OpenSSOはそういった事態にならないよう、設定変更のログを細かく出力してくれます。以下はまさに、アクセス制御のポリシーを作成したときのものです。

"2008-06-05 22:55:41"	"/|amAdmin can access anywhere"	25dece3b8b7cc09d01
id=amadmin,ou=user,dc=opensso,dc=java,dc=net	"Not Available"	INFO
dc=opensso,dc=java,dc=net	CONSOLE-311	"cn=dsameuser,ou=DSAME
Users,dc=opensso,dc=java,dc=net"	"Not Available"	amConsole.access
172.16.0.1

これは、id=amadmin ユーザが管理コンソールにアクセスして「ポリシーを作成しようとした」ということを意味します。CONSOLE-311 というログIDはポリシーを作成した、ではなくポリシー作成のボタンを押したということを意味します。つまり誰かが不適切なポリシーを作成しようとしてシステム的に止められて作成できなかったとしても、ログには操作履歴が残るわけです。

"2008-06-05 22:55:42"	"/|amAdmin can access anywhere"	25dece3b8b7cc09d01
id=amadmin,ou=user,dc=opensso,dc=java,dc=net	"Not Available"	INFO
dc=opensso,dc=java,dc=net	CONSOLE-312	"cn=dsameuser,ou=DSAME
Users,dc=opensso,dc=java,dc=net"	"Not Available"	amConsole.access
172.16.0.1

こちらはポリシーの作成が成功した、ということを意味します。日時、ポリシー名、ユーザID、クライアントIP等が出力されていますね。

こういったログも合わせて監視することが不正アクセスを予防する上では結構重要なのではないか？と思うこの頃です。