監査ログ かんさろぐ
簡単に言うとこんな感じ!
システムやサービスで「誰が・いつ・何をしたか」を記録し続ける日誌だよ。不正アクセスやデータ漏洩が起きたとき「あの日、何が起きたのか」を調べる証拠になるんだ。会社のセキュリティ対策とコンプライアンスに欠かせない記録簿ってこと!
監査ログとは
監査ログ(Audit Log) とは、システムやアプリケーション上で発生した操作・イベントを時系列で自動記録したデータのことです。「誰が(Who)」「いつ(When)」「どこから(Where)」「何を(What)」「どうしたか(How)」という5つのWを記録するのが基本で、セキュリティ調査やコンプライアンス対応の根拠資料として機能します。
ビジネスの現場では、たとえば「重要な顧客データに誰がアクセスしたか」「管理者権限の設定が誰によって変更されたか」といった情報が監査ログに残ります。インシデント(セキュリティ事故)が発生した際に「何が起きたのかを後から証明できる」のが監査ログの最大の役割です。
近年のクラウドサービスでは、AWS CloudTrail や Azure Monitor、Google Cloud Audit Logs など、クラウド基盤自体が監査ログ機能を標準で提供しています。法令・規制(個人情報保護法、金融商品取引法など)や国際規格(ISO 27001、SOC 2など)の要件を満たすためにも、監査ログの取得・保管・管理は企業の義務的な取り組みになりつつあります。
監査ログに記録される主な情報
| 項目 | 内容 | 具体例 |
|---|---|---|
| 誰が(主体) | 操作したユーザー・システム | user@example.com / admin |
| いつ(日時) | 操作が行われた日時(タイムスタンプ) | 2026-04-09T14:32:01Z |
| どこから(送信元) | IPアドレス・端末情報 | 203.0.113.45 / PC-Tokyo-01 |
| 何を(対象) | 操作されたリソース・データ | 顧客テーブル / 設定ファイル |
| どうした(操作) | 実行された操作の種類 | ログイン / 削除 / 権限変更 |
| 結果 | 操作の成否 | 成功 / 失敗(認証エラー) |
覚え方:「誰がいつどこで何をどうした+結果」
監査ログの記録項目は 「5W1H+結果」 と覚えましょう。新聞記事を書く要素と同じです。セキュリティ調査は「事件の取材」、監査ログは「目撃者の証言メモ」と考えると、その重要性がイメージしやすくなります。
監査ログの種類と用途
| 種類 | 内容 | 主な用途 |
|---|---|---|
| 認証ログ | ログイン・ログアウト・認証失敗 | 不正アクセス検知 |
| 操作ログ | ファイル閲覧・編集・削除 | 情報漏洩調査 |
| 権限変更ログ | 管理者権限の付与・剥奪 | 内部不正の抑止 |
| 設定変更ログ | システム設定・ルール変更 | 構成管理・変更追跡 |
| 通信ログ | 外部との通信履歴 | 不審な通信の検出 |
歴史と背景
- 1970年代〜 コンピュータのメインフレーム時代から、システムの動作記録(ジョブログ)は存在していた。主な目的は障害対応・デバッグ
- 1990年代〜 インターネットの普及とともにサイバー攻撃が増加。セキュリティ目的の「アクセスログ」取得が一般化
- 2002年 米国で SOX法(サーベンス・オクスリー法) が成立。企業の内部統制記録として監査ログの保管が法的義務に。日本でも2006年に J-SOX(金融商品取引法) が施行され、同様の流れが広がる
- 2010年代〜 クラウドサービスの普及により、オンプレミスだけでなくクラウド上の操作履歴管理が課題に。各クラウドベンダーが独自の監査ログサービスを整備
- 2018年 EUで GDPR(一般データ保護規則) が施行。個人データへのアクセス記録の保持が義務化され、監査ログへの注目がさらに高まる
- 2020年代〜 SIEM(セキュリティ情報・イベント管理) ツールの普及により、複数システムの監査ログを集約・分析して脅威をリアルタイムで検知する手法が主流に
監査ログの保管・運用フロー
監査ログは「記録する」だけでなく、安全に保管し・分析し・定期的にレビューする という運用サイクルが重要です。
クラウド主要サービスの監査ログ機能比較
| クラウド | サービス名 | 主な記録対象 | デフォルト保存期間 |
|---|---|---|---|
| AWS | CloudTrail | APIコール全般 | 90日(S3保存で延長可) |
| Azure | Azure Monitor / Activity Log | リソース操作 | 90日 |
| Google Cloud | Cloud Audit Logs | 管理者・データアクセス | 400日(管理系) |
| オンプレミス | OSログ(Syslog等) | OSイベント全般 | 設定次第 |
監査ログ保管期間の目安(日本の法令・規格)
個人情報保護法関連 : 明示規定なし(リスクに応じて設計)
J-SOX(金融商品取引法) : 7年以上
医療情報システム : 10年以上(電子保存の基準)
PCI DSS(カード業界) : 12ヶ月以上(直近3ヶ月はオンライン)
ISO 27001 : 組織が定めた期間(根拠の明示が必要)関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| ISO/IEC 27001 | 情報セキュリティ管理の国際規格。ログ管理は附属書Aの管理策に含まれる |
| SOC 2 | クラウドサービスのセキュリティ評価基準。監査ログの保持・管理が評価項目 |
| NIST SP 800-92 | コンピュータセキュリティログ管理ガイド(米国国立標準技術研究所) |
| PCI DSS v4.0 | クレジットカード業界のセキュリティ基準。Requirement 10でログ管理を規定 |
| RFC 5424 | Syslogプロトコルの標準仕様。ログのフォーマット・転送方法を定義 |
関連用語
- SIEM — 複数システムの監査ログを集約・分析してリアルタイムで脅威を検知するセキュリティ管理基盤
- アクセスログ — Webサーバーへのアクセス履歴を記録したログ。監査ログの一種
- ゼロトラスト — 「誰も信頼しない」を前提にしたセキュリティモデル。監査ログによる常時モニタリングが前提
- IAM(Identity and Access Management) — 誰がどのリソースにアクセスできるかを管理する仕組み。監査ログと連携して権限管理を強化
- コンプライアンス — 法令・規制・社内規程を遵守すること。監査ログはその証跡として機能する
- インシデントレスポンス — セキュリティ事故が発生した際の対応手順。