ISMSやPマークを取得する企業の多くを悩ませているのが、アクセスログの保存期間です。アクセスログは不正アクセスなどのサイバー攻撃や、マルウェアの感染による情報漏洩などの証拠として活用できる重要な情報です。そのためアクセスログは極力保存しようと言われています。
5アカウントから利用可能! 30日間の無料トライアルあり!
ISMSの管理策でもログ取得・管理の必要性が言及されている
システムやサーバへの不正アクセスやマルウェアの感染により、不正な通信や情報の漏洩などのインシデントが発生した場合、そのことをいち早く気付くためには、平時からログを取得して保管しておくことが重要です。
例えば、ISMSでも管理策でログの取得の必要性が謳われています。
また、プライバシーマークの規格にはログの取得については言及されていませんが、財団法人日本情報処理開発協会が発行している「個人情報保護マネジメントシステム実施のためのガイドライン」にはログを取得すべきということが記載されています。
しかし、上記のものには重要情報などが保管されたサーバやパソコンに対してアクセスログを取得し定期的なチェックを行うように記載されているのみで、アクセスログの保存期限については記載がありません。
セキュリティ関連の情報配信などを行っている独立行政法人情報処理推進機構も、アクセスログの保存期間については明確な期間がガイドラインなどで定められていないと過去のレポートで明言しています。
しかしながらアクセスログの保管期間を定めておかなければ、システムやサーバの開発時や運用時に、アクセスログを保存する機能の開発や設定にも支障が発生する可能性があります。またサイバー攻撃の被害にあった時の対応策にも違いが生じるため、明確な保存期間を設定しておくべきです。
それでは、アクセスログの保管期間はどのくらいの期間で設定したら良いのでしょうか?
アクセスログ保存期間についての各種記載
ISMSには関係が薄いもの、クレジットカード業界のセキュリティ基準である「PCIDSS」には、アクセスログの保存期間についての記載があります。これはPCIDSSの「要件10.7」に記載されている内容であり、「監査証跡の履歴を少なくとも 1年間保持する。少なくとも 3か月はすぐに分析できる状態にしておく(オンライン、アーカイブ、バックアップから復元可能など)」と明確に記載されています。
また国内の各種法律・ガイドラインにおいては、アクセスログの保存期間について下記のような記載があります。
- 刑事訴訟法 第百九十七条 3
- 通信履歴の電磁的記録のうち必要なものを特定し、三十日を超えない期間を定めて、これを消去しないよう、書面で求めることができる
- サイバー犯罪に関する条約 第十六条 2
- 必要な期間(九十日を限度とする。)、当該コンピュータ・データの完全性を保全し及び維持することを当該者に義務付けるため、必要な立法その他の措置をとる。
- 不正アクセス禁止法
- 不正アクセス禁止法による違反の時効は3年間
- 内部統制関連文書、有価証券報告書とその付属文書の保存期間及び電子計算機損壊等業務妨害罪
- 内部統制関連文書、有価証券報告書とその付属文書の保存期間及び電子計算機損壊等 業務妨害罪の時効は5年間
- 電子計算機使用詐欺罪
- 電子計算機使用詐欺罪の時効は7年間
- 『不当利得返還請求』等民法上の請求権期限、及び総勘定元帳の保管期限
- 『不当利得返還請求』等民法上の請求権期限、及び総勘定元帳の保管期限は10年間
システムヤサーバの運用上、あるいはサイバー攻撃への対応の観点からすると、アクセスログの保存期間として30日は短すぎますし、10年は長すぎるでしょう。実運用上では、PCIDSSのガイドラインの目安である1年間程度が妥当のように思えます。
アクセスログ保存の際のポイント
アクセスログの保存にはオンライン保管とオフライン保管の2つがあります。まずはオンンライン保管のポイントから見ていきましょう。
オンライン保管によるアクセスログのポイントは、ログの閲覧機能などを持つ統合ログ管理できるソリューションの導入によって、ログの保存や検知、バックアップなどを自動化して、運用負荷を下げることです。オンライン上に保管しているため、個人情報を含めたログ情報の外部への漏えいのリスクは無視できませんが、ログ管理や運用の全てを、第三者のサービスなどにアウトソーシングするという代替案も含めて検討しましょう。
またアクセスログを時系列で保存するだけではなく、何らかのインシデント発生時に、迅速なアクセスログの分析ができるように、不正や異常のパターンに絞り込んだ検索や、複数の種類のアクセスログを横串しで検索できる機能などがあると、使い勝手が良いです。
ある程度まとまったアクセスログから、アクセスの傾向やログの増加量などを把握して、分析や統計できる機能があれば、自社のセキュリティ対策やサーバ環境の見直しにも役立てられます。
一方、オフライン保管では、第一に保存しているログに完全性が求められます。そのため以下の点に考慮する必要があります。
- 強度の高い媒体への保管
- 劣化の少ない場所での保管
- 改ざんを防ぐための論理的または物理的対策
- 単に保管するだけではなく,再び検索対象となることも十分考えられるため、オンライン環境へのリストア手順などをドキュメント化する
- アクセスログの廃棄の条件、フロー、方法、記録の作成方法についてもドキュメント化しておく
このようにオンライン保管とオフライン保管はそれぞれに求められる要件が異なります。アクセスログは最初にオンライン保管されますが、ある程度の時間の経過で、オフライン保管に移行し、不要になったアクセスログは廃棄フェーズとなり、削除方法や削除時期が検討されるのが一般的です。
セキュリティポリシーで自社のアクセスログ保存期間を定めておく
ここまでに法令やガイドラインに基づくアクセスログの保存期間や保存方法を紹介してきました。
実際にアクセスログを保存して管理しようと思ったら、まずは自社でセキュリティポリシーを設けて、アクセスログの保存期間を定めておくことが重要です。
ログを取得するサーバやPCに保管されている情報やアクセス頻度、ログを保管するストレージ容量の制限などにもよって保管できるログの量も変わってきます。
多くの企業では、それぞれセキュリティポリシーを設定し、環境や社会情勢を考慮して独自にログ保管期間を定めています。多くは、半年から数年の期間、ログを保存しているようです。皆様の会社のログ管理はどうなっていますか?
社会情勢や会社の環境も数年で大きく代わります。ログの保管期間についても半年から数年のスパンで考慮し定期的に保管期間を見なおしてみてはいかがでしょうか?
まとめ
万が一の不正アクセスやマルウェアの感染時における、原因の究明や復旧のために、日頃からアクセスログを保存しておくことが重要です。しかしアクセスログはただ漫然と保存しておくだけでは意味がありません。保存したログは適切に管理されて分析できるようになって、初めて意味を持ちます。もし自社でアクセスログの管理や分析が不十分でしたら、ログ管理サービスなどの導入を検討するのも良いでしょう。
弊社でお取り扱いしているPCログ管理サービス「セキュログ」では、専用サーバ・専任管理者不要のシンプルで簡単な操作性、月額5,000円からのリーズナブルな料金体系で従業員のPCログを管理することができます。あらゆる操作ログが取得できるだけでなく、セキュリティアラーム機能やIT資産管理機能で貴社のセキュリティに寄与します。30日間の無料トライアルもございます。ぜひご検討ください。