PR

10.7 監査証跡履歴は,少なくとも1年は保管,最低3カ月間はオンラインで閲覧利用できるようにする。

 要件10.7ではアクセス・ログのライフサイクル(オンライン保管,オフライン保管)について明確に期間が定義されている(廃棄まで踏まえたほうが望ましい,図5)。この中で一番検討に時間をかけなくてはならないのがオンライン保管のフェーズである。明確に最低3カ月間という保管期間が定められているため,ログの容量,ネットワーク環境,閲覧する仕組みなどを考慮しなければならない。PCI DSSではログの集中管理が推奨事項となっているため,それを想定した場合に容量を満たす機器を選定しなければならない。

図5●ログのライフ・サイクル
図5●ログのライフ・サイクル

 オンライン保管フェーズでは,閲覧機能を含む統合ログ管理のソリューションを導入することによって,ログの保管,検知,バックアップなどの運用を自動化し,日々の運用負荷を下げることが望ましい。また,個人情報が外部へ流出する懸念はあるが,これらのインフラ,運用のすべてを第三者のサービス・プロバイダにアウトソースすることも代替策として検討できる。また,単にオンライン上のサーバーにログを集めるだけでは,何かあったときに迅速に調査ができないため,不正および異常な挙動に関するパターンでの検索,複数種類のログを対象にした横串しのキーワード検索など,使い勝手の良い検索機能は最低限必要である(図6)。また,今後のセキュリティ対策や環境の見直しを見極めるため,アクセスの傾向,ログ増加量などを把握することが可能な分析・統計機能があることが望ましい。

図6●オンライン時の検索機能
図6●オンライン時の検索機能

オフライン保管

 要件10.7では,最低1年間の保管が要求されているが,その他に関連法(プロバイダ責任制限法,個人情報保護法,金融商品取引法など)や業界標準などの考慮が必要になる。ログの完全性を重視した保管運用が求められるため,以下の点を考慮する。

・強度の高い媒体への保管
・劣化の少ない場所での保管
・改ざんを防ぐための論理的または物理的対策

 単に保管するだけではなく,再び検索対象となることも十分考えられる。そのため,オンライン環境へのリストア手順などをドキュメント化しておく。

アクセス・ログの廃棄

 要件10.7では,アクセス・ログの保管についてのみ記述されているが,一定期間後は組織にとっては不要となるだろう。不要となったからといってアクセス・ログ情報の漏えいなどのリスクにさらしておくことはできない。従って,確実な廃棄方法についても取決めを定めておくことが望ましい。主に以下の点を考慮する。

・廃棄するアクセス・ログの条件
・廃棄するフロー(承認者,作業者)
・廃棄する方法(物理的,論理的に再生不可能な方法)
・廃棄記録の作成

表2●関連商品
分野 メーカー/ベンダー 製品/サービス
ログ管理サービス JIEC ログ統合・証跡管理SaaS 「Log Shelter」
インフォリスクマネージ Security Log Management
フォーバルクリエーティブ Internet サーバログ分析サービス「LogStare」

伊藤 晃生
ネットワンシステムズ セキュリティ事業推進本部 コンサルティング部 第3チーム
SI企業を経て,2007年5月,ネットワンシステムズ入社。前職では,セキュリティ案件のプロジェクト・マネージャ,SOX法に関連したサービスの企画,開発などを担当。現在はコンサルタントとして,事業継続サービス,業務最適化プロジェクトなどに従事。