ログの取得・管理

目的・趣旨

情報システムにおけるログとは、システムの動作履歴、利用者のアクセス履歴、通信履歴 その他運用管理等に必要な情報が記録されたものであり、悪意ある第三者等による不正侵 入や不正操作等の情報セキュリティインシデント及びその予兆を検知するための重要な材 料となるものである。また、情報システムに係る情報セキュリティ上の問題が発生した場合 には、当該ログは、事後の調査の過程で、問題を解明するための重要な材料となる。したが って、情報システムにおいては、仕様どおりにログが取得され、また、改ざんや消失等が起 こらないよう、ログが適切に保全されなければならない。

遵守事項

(1) ログの取得・管理

(a) 情報システムセキュリティ責任者は、情報システムにおいて、情報システムが 正しく利用されていることの検証及び不正侵入、不正操作等がなされていないこ との検証を行うために必要なログを取得すること。

(b) 情報システムセキュリティ責任者は、情報システムにおいて、その特性に応じ てログを取得する目的を設定した上で、ログを取得する対象の機器等、ログとし て取得する情報項目、ログの保存期間、要保護情報の観点でのログ情報の取扱方 法、及びログが取得できなくなった場合の対処方法等について定め、適切にログ を管理すること。

(c) 情報システムセキュリティ責任者は、情報システムにおいて、取得したログを 定期的に点検又は分析する機能を設け、悪意ある第三者等からの不正侵入、不正 操作等の有無について点検又は分析を実施すること。

【 基本対策事項 】

＜6.1.4(1)(a)関連＞

6.1.4(1)-1 情報システムセキュリティ責任者は、情報システムに含まれる構成要素（サー

バ装置・端末等）のうち、時刻設定が可能なものについては、情報システムにおいて 基準となる時刻に、当該構成要素の時刻を同期させ、ログに時刻情報も記録されるよ う、設定すること。

＜6.1.4(1)(b)関連＞

6.1.4(1)-2 情報システムセキュリティ責任者は、所管する情報システムの特性に応じて

ログを取得する目的を設定し、以下を例とする、ログとして取得する情報項目を定 め、管理すること。

a) 事象の主体（人物又は機器等）を示す識別コード b) 識別コードの発行等の管理記録

c) 情報システムの操作記録 d) 事象の種類

167 e) 事象の対象

f) 正確な日付及び時刻

g) 試みられたアクセスに関わる情報 h) 電子メールのヘッダ情報及び送信内容 i) 通信パケットの内容

j) 操作する者、監視する者、保守する者等への通知の内容

6.1.4(1)-3 情報システムセキュリティ責任者は、取得したログに対する、不正な消去、改

ざん及びアクセスを防止するため、適切なアクセス制御を含む、ログ情報の保全方法 を定めること。

6.1.4(1)-4 情報システムセキュリティ責任者は、ログが取得できなくなった場合の対処

方法を定めること。

＜6.1.4(1)(c)関連＞

6.1.4(1)-5 情報システムセキュリティ責任者は、取得したログを効率的かつ確実に点検

及び分析し、その結果を報告するために、以下を例とする、当該作業を支援する機能 を導入すること。

a) ログ情報をソフトウェア等により集計し、時系列で表示し、報告書を生成する などの作業の自動化

（解説）

遵守事項6.1.4(1)(b)「ログを取得する目的」について

情報システムにおいて出力できる様々なログは、その全てを無期限に保存し、定期的 にその点検や分析を行うことができれば理想的であるが、そのためには莫大なストレ ージ容量が必要になり、解析にかかる時間も長くなるなど、現実的ではない。

そのため、情報システムの特性（取り扱われる情報、接続されるネットワーク、設置 環境、利用者等）に応じ、当該情報システムでどのような事象を検知すべきかを目的と して設定した上で、取得すべきログ情報やその保存期間等を検討することが望ましい。

例えば、標的型攻撃の早期発見・初期調査を目的とした場合には、以下のようなログ を取得することが考えられる。

電子メールサーバ： 電子メールクライアントで表示される表記名*、送信者ア ドレス*、実際の電子メール送信者アドレス*、添付ファイル名*

ファイアウォール： ファイアウォールポリシーのアクション、送信先のゾーン 設定*、送信元アドレス、送信元ポート、送信先アドレス、送信先ポート Web プロキシサーバ： URL アドレス、送信先サイトのポート、メソッド、

UserAgent*、アクセス時間

DNS キャッシュサーバ： 名前解決を行おうとしている PC 等のIP アドレス

*、要求及び応答したホストやIPアドレスの情報*

認証サーバ（Active Directory）： 資格認証の確認の監査*、Kerberos認証サー ビスの監査*、ログオンの監査*、その他ログオン／ログオフイベントの監査*、

特殊なログオンの監査*

168

なお、上記のログの例において、項目名の終わりに*を付与しているログ項目は各機 器の標準設定では出力されない場合があるため、注意が必要である。

遵守事項6.1.4(1)(b)「保存期間」について

保存期間については、情報システム又は当該システムに保存される情報の特性に基 づき、設定される。ただし、標的型攻撃に関し、攻撃の初期段階から経緯を確認する観 点からは、過去の事例を踏まえ、ログは１年間以上保存することが望ましい。

なお、ログの長期保存にはコストがかかるため、費用を抑える観点から、直近のログ はすぐに調査可能なハードディスク等のオンラインの電磁的記録媒体に保存し、それ 以降はテープや光ディスク等の長期保存に適した外部電磁的記録媒体に保存する方法 も考えられる。オンラインの電磁的記録媒体に保存する期間については、過去に遡って 調査する期間や頻度、どの程度のコストをログの保存にかけられるかを考慮して決定 する。

遵守事項6.1.4(1)(b)「ログが取得できなくなった場合の対処方法」について

以下を例とする対処方法が考えられる。

古いログに上書きする設定を施し、ログの取得を継続する。

ログが取得できなくなった際に出力されているメッセージ、エラーコード等を 確認し、障害の原因を特定すると同時に当該障害の原因の対処を実施する。

なお、情報システムにおいて、事前に収集したログのバックアップ設定を行って いる場合は、復旧手順に従い、速やかにログを復旧させる。このとき、復旧する バックアップの古さの目標値を示すRPO（Recovery Point Objective）は情報シ ステムの特性及び取り扱う情報によって、適切に設定する必要がある。

あらかじめ用意したファイル容量を使い切った場合、情報システムに対する挙 動がログに保存されないため、一旦情報システムを停止し、ファイル容量を新た に用意するなどした後に、ログの取得を再開する。

遵守事項6.1.4(1)(c)「点検又は分析」について

情報システムの特性等に応じて、点検・分析の頻度や分析の精度を高める必要がある 場合には、専任の分析担当者の設置や監視事業者への委託を検討することが考えられ る。

基本対策事項6.1.4(1)-1「時刻を同期」について

具体的な実装例としては、ログを取得する機器のシステム時刻を、タイムサーバを用 いて同期する方法がある。タイムサーバは、NTP（Network Time Protocol）やSNTP

（Simple Network Time Protocol）等の方式により、ネットワーク上のクライアント 機器に対して、時刻を提供する。例えば、公開NTPサービスを用いる方式や組織内に タイムサーバを設置し、サーバ装置・端末・通信回線装置をタイムサーバに時刻同期す るよう設定する方式が挙げられる。なお、後者については、タイムサーバを複数利用す ることにより、時刻の精度や冗長性を高めることができる。

また、機器によっては明示的に設定を行わないとログに出力する時刻が現地時間と ならない場合があるため注意が必要である。

169

基本対策事項6.1.4(1)-2 d)「事象の種類」について 事象の種類の例を以下に示す。

ウェブサイトへのアクセス ログイン及びログアウト サーバ、ファイルへのアクセス 要保護情報の書き出し

アプリケーションの起動及び終了 特定の操作指令

基本対策事項6.1.4(1)-2 e)「事象の対象」について 事象の対象の例を以下に示す。

アクセスしたURL

ログインしたアプリケーション名

アクセスしたファイル名及びファイル操作内容 起動及び終了したアプリケーション名及びパス 特定の操作指令の対象

基本対策事項6.1.4(1)-3「ログ情報の保全方法」について

取得したログ情報に対する不正な消去、改ざん及びアクセスを防止するためのログ 情報の保全方法として、以下の例が考えられる。

ログ収集サーバにログを転送し保存する。ログ収集サーバの管理者を他のサー バ等の管理者と異なる者とし、他の管理者によるログ情報の消去や改ざんが行 われないようにする。

ログをテープ等の外部電磁的記録媒体に書き出し、情報システムから切り離し て保管する。

ログを書き換え不能な外部電磁的記録媒体（DVD-R等）に書き出して保管する。

基本対策事項6.1.4(1)-5 a)「自動化」について

ログとして取得する項目数、利用者数等が多くなるにつれて、ログの量は膨大になり、

システム担当者等がログを目視することによって問題（又はその予兆）を検出するのは、

困難を極める。システム自体に実装される機能や各種運用管理ツールを組み合わせ、ロ グの点検・分析・通知が自動的に実行されるなど、ログ管理作業を支援する仕組みを構 築することが望ましい。