ログ保全 ろぐほぜん
簡単に言うとこんな感じ!
システムの「行動記録(ログ)」を、改ざんや削除から守って証拠として使えるように安全に保管しておくことだよ!セキュリティ事故が起きたとき「いつ・誰が・何をしたか」を後から調べるための大事な記録なんだ。
ログ保全とは
ログ(log) とは、システムやネットワーク機器が自動的に記録する「操作・通信・エラーなどの履歴データ」のことです。ログ保全とは、こうした記録を改ざん・削除・上書きから保護し、必要なときに証拠として利用できる状態で維持・管理することを指します。
セキュリティインシデント(不正アクセス・情報漏えいなど)が発生した場合、「いつ・どこから・誰が・何をしたのか」を追跡するためにログは不可欠です。しかし、ログが後から書き換えられたり、自動的に削除されてしまっていたりすると、原因究明も法的対応も不可能になります。ログ保全はそのリスクを防ぐための取り組みです。
特に近年は、個人情報保護法・不正競争防止法・金融商品取引法などの法規制や、PCI DSS・ISO 27001などの国際規格において、一定期間のログ保存が義務または強く推奨されています。「ログが残っていなかった」という事態は、規制違反や訴訟リスクにも直結するため、発注・選定・運用担当者としても重要な概念です。
ログ保全の核心:何をどう守るか
ログ保全で守るべき要素と、その方法を整理します。
| 保全の観点 | 内容 | 具体的な対策例 |
|---|---|---|
| 完全性 | ログが改ざんされていないこと | ハッシュ値による検証、書き込み専用ストレージ |
| 可用性 | 必要なときに参照・取得できること | 定期バックアップ、オフサイト保管 |
| 機密性 | 権限のない者が閲覧・削除できないこと | アクセス制御、暗号化保存 |
| 保存期間 | 必要な期間にわたって保持されていること | 自動削除ポリシーの見直し、保存期間の明示 |
| タイムスタンプ | 記録された時刻が正確であること | NTPによる時刻同期、タイムスタンプ署名 |
「WORM」という考え方
ログ保全で重要なキーワードが WORM(Write Once Read Many) です。「一度書いたら書き換えられない」仕組みのことで、光ディスクや専用ストレージ、クラウドの不変ストレージ(Immutable Storage)などで実現されます。これにより、攻撃者がログを消して証拠隠滅することを防げます。
保存期間の目安
| 対象システム・規制 | 推奨・義務期間 |
|---|---|
| PCI DSS(クレジットカード関連) | 最低1年(直近3ヶ月はすぐ参照できる状態) |
| 金融商品取引法 | 最低5〜10年(対象により異なる) |
| 一般的なセキュリティベストプラクティス | 最低1年 |
| サーバー・ネットワーク機器のアクセスログ | 90日〜1年以上 |
歴史と背景
- 1990年代:インターネット普及とともにサーバーログの概念が定着。主に障害調査・デバッグ目的で利用。
- 2000年代前半:大規模な情報漏えい事件(米エンロン事件など)を機に、監査証跡としてのログ保存が注目される。米国SOX法(企業改革法、2002年)でログ保存義務が明示的に求められるように。
- 2005年前後:PCI DSS v1.0が策定され、クレジットカード業界でのログ管理要件が国際標準化。
- 2010年代:クラウド普及に伴い、SIEM(Security Information and Event Management) が登場。複数システムのログを集約・分析するアーキテクチャが普及。
- 2018年〜:GDPR(EU一般データ保護規則)・改正個人情報保護法により、インシデント発生時の証拠保全・報告義務が世界的に厳格化。ログ保全が法的リスク管理の一環として経営層の関心事に。
- 2020年代:クラウドネイティブ環境でのログ不変ストレージ(AWS S3 Object Lock、Azure Immutable Storageなど)が一般化し、コスト効率の高い保全が実現可能に。
ログ保全の仕組みと関連技術
ログがどのように収集・保全・活用されるか、フロー全体を整理します。
代表的な保全技術・ツール
| 技術・ツール | 役割 |
|---|---|
| Syslog / rsyslog | ログをリモートサーバーに転送するプロトコル・ツール |
| SIEM(例: Splunk, Microsoft Sentinel) | ログを集約・相関分析し、異常を検知 |
| WORM ストレージ | 書き換え不可の保存領域(AWS S3 Object Lockなど) |
| タイムスタンプ認証局 | ログの記録時刻を第三者機関が証明 |
| ハッシュチェーン | ログファイルのチェーンハッシュで改ざんを検出 |
ログ保全 vs 単なるログ保存の違い
| 観点 | ログ保存(logging) | ログ保全(log preservation) |
|---|---|---|
| 目的 | 障害調査・モニタリング | 証拠保全・法的対応・フォレンジック |
| 改ざん対策 | 特になし | WORM・ハッシュ検証が必須 |
| 保存場所 | ローカルサーバー内が多い | オフサイト・別権限ストレージ |
| アクセス制御 | 運用担当者が自由に参照・削除可 | 削除・変更に厳格な制限 |
| 法的要件との紐付け | 意識されないことも多い | 規制・コンプライアンス要件に準拠 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 5424 | Syslogプロトコルの仕様(ログ転送の標準フォーマット) |
| RFC 3161 | インターネットX.509タイムスタンププロトコル(ログの時刻証明) |
| RFC 5848 | Syslogメッセージへの署名機能(改ざん検出) |
関連用語
- フォレンジック — インシデント発生時にログ等の電子証拠を収集・解析する技術
- SIEM — ログを一元集約してリアルタイムに脅威を分析するセキュリティ管理システム
- インシデント対応 — セキュリティ事故発生時の検知・封じ込め・復旧の一連のプロセス
- 監査証跡 — 誰が・いつ・何をしたかを記録したシステム操作の証跡
- Syslog — ネットワーク機器・サーバーがログをリモートに転送するためのプロトコル
- アクセスログ — システムやWebサーバーへのアクセス履歴を記録したログ
- タイムスタンプ — データが特定の時刻に存在したことを第三者が証明する仕組み
- PCI DSS — クレジットカード業界のセキュリティ標準規格(ログ保存要件を含む)