なぜ、ログを保存することが大切なの？：セキュリティ、いまさら聞いてもいいですか？（10）（3/4 ページ）

情報セキュリティの“キソのキソ”を整理する本連載。今回のテーマは「ログ」です。ログの活用方法や、ログを保存する際の注意事項などについて学びましょう。

[増井敏克，＠IT]

ログの活用が難しい理由

ログの重要性は分かりましたが、全ての組織がこのようにログを活用しているのでしょうか？

大企業ではログが活用されている例もありますが、特に中小企業などでは、十分にログを活用できていないのが実態です。

　ログを活用し、セキュリティ対策に役立てることが重要だというのは、多くの事業者が認識していることです。しかし、現実はそう簡単にはいきません。例えば、2016年6月にIPAが発表した「企業における情報システムのログ管理に関する実態調査（pdf）」には、以下の記述があります。

「ログ情報の統合・分析、システムのセキュリティ状態の総合的な管理機能」を導入していたのは、大企業でも 29.9％であったのに対し、中小企業は 7％と、ログを活用した対策が普及しているとは言い難い。

（「企業における情報システムのログ管理に関する実態調査」、P.4より抜粋）

　このような状況が生まれている原因の1つとして考えられるのが、「技術者の不足」です。その結果、「担当者がログの詳細を理解できておらず、どんなログを取ればよいのか分からない」「専任の技術者を配置することが難しく、ログ分析が片手間になってしまう」といった状況が生まれています。特に中小企業の場合は、ログを分析する体制を作る費用や時間を確保するのが難しいのが実情です。

　また、Webサーバへのアクセスログなどの場合は、アクセス数と売り上げなどがつながるため、ログを分析することにメリットを見いだせるかもしれませんが、セキュリティログの場合、コストを掛けても、利益向上に直接的にはつながらないという側面があります。攻撃を受けていなければ、ログを見ても何も問題のない状況が続くため、分析の優先度がどうしても下がってしまうのです。

ログ管理を始める前に、どのような準備が必要でしょうか？

まず、ログを保存する対象や容量に関してルールを決めておくことが大切です。

　ログは多ければ多いほど分析できる対象が増えますが、やみくもに取得しても、メモリやディスクを浪費するだけで、意味がありません。まずはログを取得する対象を決め、一定の量が蓄積されたときに古いログから順に削除していくなどのルールを決めておくことが重要です。

　このとき、ログを証拠として活用する場合には、法令やガイドラインに沿った期間を目安にする必要があります。例えば、PCI DSSでは「監査証跡（ログ）の履歴を少なくとも1年間保持する」とされています。また、サイバー犯罪に関する条約では「必要な期間」として「90日」という記述があります。法令やガイドラインごとに保存すべき期間には差があります。情報の重要性などを考慮して、組織ごとに保存期間を決める必要があります。

　決定した方針は、第6回で紹介した「セキュリティポリシー」などに明記しておきます。また、メールなどのデータの内容を監視する場合には、プライバシーの問題を考慮し、監視を行っていることを従業員に通知するなどの対応も必要になります。

Quiz：たくさんのログを効率的に分析する方法はあるのでしょうか？

次ページでは、さまざまな機器などから出力されるログを効率的に分析する方法を紹介します。