ログはなるべく保存しない?ログ保存期間の最適解

77227f06ef231ccf778881dd4330f269_s
ログ監視の目的は、「システムリソースの利用状況チェック」や「個人情報の保護」など、企業によってさまざまだと思いますが、「何のために」「どこをめざすのか?」を明確にしたうえで設定していきます。
ここでは、目的として想定される項目を、以下の7項目とします。

ログ管理の目的

システムの利用状況の把握
障害やその予兆の検知/発生時の対応
セキュリティインシデントやその予兆の検知/発生時の対応
個人情報の漏洩・改竄・紛失やその予兆の検知/発生時の対応
業務ルール違反やその予兆の検知/発生時の対応
監査に対応できる信頼性の確保
データ保存及び更新時の記録取得

ログ監視で「何を」「どこまで」管理するのか?

目的が定まったら、「何を」に相当する、ログ監視すべき対象を検討します。

ログの種類の把握

ログの種類を4つに分けてみます。4種類の各ログのうち、自社の目的と紐付けて整理することで、管理対象を絞り込みましょう。

システム運用状況に関するログ
……システムログ、エラーログ、ジョブ実行ログ、など。

認証/アクセスログ、操作ログ
システム管理者に関するもの
……システム管理者認証ログ、サーバ操作ログ、マシンルームの入退室記録、など。
一般の利用者に関するもの
……利用者認証ログ、PC操作ログ、ファイルアクセスログ、アプリケーションログ、など。
(違反検出のほか、監査証跡に必要なトレーサビリティの確保のために必要となります。)

セキュリティインシデントに関するログ
……ウィルス検知ログ(アラート)、ファイアウォールログ、不正アクセス検知ログ、など。
(特定のアクセス元から特定ポートに向けた大量の通信がファイアウォールログに記録されるなど、セキュリティに関する異常検出のほか、予兆/傾向の把握のために重要です。)

ビジネスプロセスに関するログ
……電子メールアーカイブ(送受信内容の記録)、Web閲覧記録、業務プロセスの承認、却下記録、違反記録、データ保存及び更新時の記録、など。

「どこまで」管理すればよいのか?

次は、収集したログを「どこまで」管理するかについて、以下3点を検討項目として考えていきます。

ログ保存期間
ログに対するセキュリティ対策のレベル
ログをモニタリングするレベル

ログ保存期間

ここではあえて、目標を「ログはなるべく保管しない」としたいと思います。

これは、単純にログ監視対象を減らす、という意味ではなく、無理せず続けられるログ管理を目標として、「要件をしっかりと把握して、最低限のログ保存にしましょう」ということです。

そのためには、業務を行ううえでの基本ルールを定めた、以下のような資料を参考にしながら検討しましょう。

自社の規程、基準、業務マニュアル類
法制度や世間一般の基準・ガイドラインなど
内部監査、外部監査の要件
システム運用管理業務における業務要件、など。

参考資料としたものに明確な定義があれば、それに従えばよいでしょう。
内部統制や個人情報保護の対策として監査がある場合は、最低1年以上のログ保存が必要です。
ログの種類ごとに検討を行い、業務上の要件と効率性の観点から、ログ保存期間を設定します。

ログに対するセキュリティ対策のレベル

ログの情報の中には、ユーザIDやIPアドレスなど、セキュリティ上の保護が必要な情報も含まれていることが多く、また、ログファイル自体を改ざんされてしまうと、違反行為などが発見できなくなってしまう可能性が高くなりますので、セキュリティ対策は適切に施しておくことが重要です。

セキュリティ対策を考えるうえで考慮すべき項目を例示しておきます。

全てのアクセスを追跡し、監視すること
監査の証跡は、改変できないように保護し、閲覧権限を制限する。
ログファイルを、改ざんが難しい媒体に、直ちにバックアップする。
既存のログデータが改ざんされた時に必ずアラートが発せられるよう検知ソフトウェアを使用する、など。

ログをモニタリングするレベル

業務上の違反行為やセキュリティインシデント、システムの不具合などを適時に発見するために、管理対象のログに対しては、モニタリングを行う必要があります。

具体的には、ログの監視やアラートを使った通知、定期的なレビュー・監査などです。
アラートツールを利用したリアルタイムの検知および対応は、初動対応が勝負を分ける障害やセキュリティ事故などでは有効となります。

ログ監視は、セキュリティに関する異常検出のほか、予兆/傾向の把握のために重要です。いざという時に、きちんと役立つログ収集、ログ監視を、無理せず継続できるログ監視体制を構築しておきましょう。