JIS Q 27002におけるログ管理のポイント

• 監査ログ取得
• システム使用状況の監視
• ログ情報の保護
• 実務管理者及び運用担当者の作業ログ
• 障害のログ取得
• クロックの同期

ログ取得の目的

• インシデント検知
• 監査証跡として
• 内部犯行の抑止
• ディジタルフォレンジックス

ログに残すもの

• いつ
  • 実行日時
  • タイムスタンプ
• 誰が
  • アクセスユーザ
  • IPアドレス
  • コンピュータ名
• 何に
  • 対象資源
  • 実行プログラム
  • テーブル
• どうした
  • 以下の操作と実行結果（成功/失敗）
    • プログラムの起動/停止、ログイン/ログアウト
    • 特権操作
    • 許可されているアクセス/無許可アクセス
    • 成功したアクセス/失敗した試み

ログ管理の留意点

• 対象と保存期間の決定
• 改ざん防止策
  • ハッシュ値の利用
• ログファイルのバックアップ
  • バックアップ媒体の盗難
    • 媒体に通番を付与し台帳管理を行った上で、遠隔地保管や施錠管理された金庫等での保管
  • バックアップ媒体中のデータ改ざん
    • WORM機能の媒体

複数機器にまたがるログの分析

• 時刻を合わせる（NTPサーバ：123）
• タイムゾーンを統一する
• フォーマットを正規化する
• X-Forwarded-Forヘッダフィールド
  • 変換前の送信元IPアドレスをログに残せる
• ログ管理システムの管理

統合ログ管理システムの機能

• 各サーバのログ収集機能（一元管理機能）
• ログの安全な保存機能
  • 暗号化
  • アクセス制限
  • 改ざん検知
• 圧縮等による長期保存機能
• ログの検索、分析機能
• アラート通知、レポート出力機能