新規事業・サービスの立ち上げにおいて避けて通ることのできない、法やガイドラインへの対応。
本記事では、ログ管理や証跡管理が、法規制やガイドラインにおいてどのように記載されているか紹介いたします。

情報セキュリティ管理基準（経済産業省）

経済産業省が発行する情報セキュリティ管理基準は、情報技術（IT）の産業全般への浸透に伴い、各事業者における情報セキュリティの確保のため、企業に求められる対策をまとめたガイドラインです。

表1. 情報セキュリティ管理基準におけるログ管理

12.4.1	利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューする。
12.4.2	ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護する。
12.4.3	システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューする。
12.4.4	組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックは、単一の参照時刻源と同期させる。

システム管理基準 追補版（財務報告に係るIT 統制ガイダンス）

改正金融商品取引法における上場企業の内部統制の整備及び運用状況の有効性の評価・報告が義務付けられた、いわゆる「JSOX対応」における「ITへの対応」の部分に関し、「システム管理基準等」のガイドラインとの関連性を示したものです。
実質的には上場企業におけるJSOX法対応の一環であるIT統制に対する標準的な指針として位置づけられています。

表2. システム管理基準 追補版におけるログ管理

3-(2)-①-ホ	情報システムはアクセス記録を含む運用状況を監視することが望ましく、また、情報セキュリティインシデントを記録し、一定期間保管すること。
3-(2)-①-ヘ	情報システムで発生した問題を識別するために、システム運用の作業ログ・障害の内容ログ及び原因ログを記録し、保管すること。 取得されたログは、内容が改ざんされないように保管することが望ましい。

金融機関におけるコンピュータシステムの安全管理基準（FISC）

金融情報システムセンター（FISC）が業界自主基準として昭和60年に策定以来、改定を重ねてきた金融業界におけるITシステムの運用およびセキュリティ基準。金融庁におけるIT検査においても参照されており、実質的に金融機関におけるITシステムのガイドラインとして機能しています。
現在のガイドライン（第9版）では、27の統制基準、148の実務基準、137の設備基準、1の監査基準で構成されており、特に実務基準において特権アカウントの証跡管理についての内容が規定されています。

表3. FISC安全対策基準におけるログ管理

実38	オペレーションの正当性を検証するため、オペレーションの記録、確認を行うこと。
実63	端末機操作による不正取引を防止するため、取引明細表、端末機操作記録等により、取引内容が検証できる体制を整備すること。
実10	アクセス状況を管理するため、システム及びデータへのアクセス履歴を取得し、監査証跡として必要期間保管するとともに定期的にチェックすること。

PCI DSS（クレジットカード 業界セキュリティ基準）

PCI DSS は、 国際カードブランド団体（PCI SSC) によって定められた、カード会員データを保護するためのシステムインフラのセキュリティ対策基準です。国内では、日本クレジット協会が、加盟するカード会社や加盟店に対し、本基準を準拠する自主期限を設定し、安全なクレジットカードの利用環境の普及に努めています。

PCI DSSは12の要件から構成されていますが、要件10が「ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する」となっており、要件のほぼすべてがログ・証跡の取得と点検に関する内容となっています。

表4. PCI DSSガイドラインにおけるログ管理

10.1	システムコンポーネントへのすべてのアクセスを各ユーザにリンクする監査証跡を確立する。
10.2	(次のイベントを再現するために、)すべてのシステムコンポーネントの自動監査証跡を実装する。 10.2.1 カード会員データへのすべての個人アクセス 10.2.2 ルート権限または管理権限を持つ個人によって行われたすべてのアクション 10.2.3 すべての監査証跡へのアクセス 10.2.4 無効な論理アクセス試行 10.2.5 識別と認証メカニズムの使用および変更およびルートまたは管理者権限をもつ アカウントの変更、追加、削除のすべて 10.2.6 監査ログの初期化、停止、一時停止 10.2.7 システムレベルオブジェクトの作成および削除
10.3	イベントごとに、すべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録する。 →ユーザ識別/イベントの種類/日付と時刻/成功または失敗を示す情報/イベントの発生元
10.4	時刻同期技術を使用してすべての重要なシステムクロックおよび時間を同期し、時間を取得、配布、保存するために以下の要件が実施されていることを確実にする。
10.5	変更できないよう、監査証跡をセキュリティで保護する。
10.6	すべてのシステムコンポーネントのログとセキュリティイベントを調べ、異常や怪しい活動を特定する。
10.7	監査証跡の履歴を少なくとも 1 年間保持する。少なくとも 3 カ月はすぐに分析できる状態にしておく。
10.8	重要なセキュリティ制御システムの障害のタイムリーな検出および報告のためのプロセスを実装する（サービスプロバイダに対する追加要件）

まとめ

以上のように、多くのガイドラインでログ管理・証跡管理について記載されていますが、ログ管理・証跡管理には、大きく以下の3つの目的があることがわかります。

(1) システム運用の正当性の確認

システム運用、管理を目的としてOSやデータベースに対する操作の内容を記録し点検することで、運用の正当性を確認する。

(2)外部からのサイバー攻撃の察知

プロキシ、ファイヤーウォールやネットワークなどのアクセスを解析し、外部からのサイバー攻撃を察知する。

(3)不正取引の可能性の検証

アプリケーション上の取引やトランザクションのログを解析し、不正取引の可能性を検証する。

また、どのガイドラインでも「時刻同期」と「点検を行うこと」が共通で記載されています。ログを取得しても肝心の時間がずれていては、正確な情報ではなくなってしまいますし、点検によって初めて異常を発見できるわけですから、保管に留めず点検まで行うことがカギとなっているわけです。