アクセスログや監査証跡の保存期間はどれくらいが適切なのか？

アクセスログの保存期間は、企業や組織の規模、業界、そして適用されるコンプライアンス要件によって異なります。一般的に、最低でも1年以上の保存が推奨されており、特に厳格な規制が求められる業界では10年程度の保存が必要なケースもあります。

特に近年では、業界を問わずログ監査や関連する規制が厳格化しており、アクセスログや監査証跡の重要性を無視できない状況になっています。

ここでは、なぜアクセスログや監査証跡の保存が重要なのか、どのような基準で保存期間を決めるべきなのかを詳しく解説していきます。

そもそもログの保存はなぜ必要なのか？

アクセスログや監査証跡の保存は、組織のセキュリティ対策やコンプライアンス遵守において重要な役割を果たします。適切な保存期間を設定することで、サイバー攻撃の調査やトラブルシューティング、内部脅威の検出などに活用できます。ここでは、具体的な理由について解説します。

組織のセキュリティ脆弱性の改善

監査証跡のログを分析することで、組織のシステムやネットワークに潜むセキュリティ上の脆弱性を特定できます。

例えば、普段とは違う端末やIPアドレスから短時間のうちに何度もログインの試みがある場合や、業務時間外に多数のログイン試行が行われたりする場合、不正アクセスの兆候である可能性があります。このような不審なアクセスが記録された際に、それが偶発的なものなのか、攻撃者によるものなのかを分析することが重要です。

コンプライアンス遵守

アクセスログや監査証跡の保存は、法規制や業界標準を遵守するうえで不可欠です。多くの業界では、アクセスログや監査証跡の適切な管理が義務付けられており、アメリカの金融業界ではSOX法、医療業界ではHIPAA、その他にもGDPRやISO 27001といった規制に準拠する必要があります。

また、日本でも同じように、金融業界では金融商品取引法や金融庁のガイドラインに基づく規制が存在します。医療業界では個人情報保護法や医療情報の適正管理に関するガイドラインが定められており、一般企業においても個人情報保護法やJ-SOX法に基づいてアクセスログや監査証跡の保存が求められています。

これらの規制を守らなければ、監査の際に問題視されるだけでなく、罰則の対象となる可能性もあります。

そのため、企業がこれらの規制を遵守するためには、適切な保存ポリシーを策定し、監査時に必要なデータを迅速に提供できる体制を整えることが重要です。

トラブルシューティング

システム障害やネットワークの問題が発生した際、アクセスログや監査証跡は原因究明に欠かせない情報源となります。例えば、特定のユーザーがシステムにログインできない場合、その原因がアカウントのロックなのか、ネットワークの問題なのかを特定するために、ログを確認する必要があります。アクセスログや監査証跡には、どのアカウントがいつ、どの端末からログインしようとしたのかが記録されているため、問題の原因を特定する手がかりとなります。

また、アプリケーションの動作が不安定になった際にも、ログの分析は重要です。特定の時間帯にエラーが集中している場合、それがサーバーの過負荷によるものなのか、特定のリクエストが問題を引き起こしているのかをログから分析できます。さらに、ネットワーク障害が発生した場合、特定のIPアドレスからの大量アクセスが影響しているのか、それともシステム側の設定ミスなのかを判断するためにも、アクセスログの確認が欠かせません。

内部脅威を事前に発見

組織が直面するセキュリティリスクは、外部からの攻撃だけではありません。内部の従業員や契約社員による不正行為や情報漏洩も深刻な問題となっています。アクセスログだけでなく監査証跡を定期的に分析することで、内部脅威の兆候を事前に発見し、迅速に対応することが可能になります。

例えば、通常の業務ではアクセスする必要のない機密データに対し、特定の従業員が頻繁にアクセスしている場合、不正な情報収集の可能性があります。また、業務時間外に大量のデータがダウンロードされている場合、社外への情報持ち出しが行われている懸念があります。さらに、退職予定の従業員が異常に多くのデータを取得しているケースも、不正行為の兆候として注意が必要です。

こうした異常行動を早期に検知するためには、アクセスログや監査証跡の監視体制を強化することが求められます。

アクセスログや監査証跡の推奨保存期間は？

アクセスログや監査証跡の保存期間は、セキュリティ要件や法規制、業界標準によって異なります。ここでは、一般的なコンプライアンス基準に基づいた推奨される保存期間をご紹介します。

• サイバー犯罪に関する条約 第十六条 2：「必要な期間（九十日を限度とする。）、当該コンピュータ・データの完全性を保全し及び維持することを当該者に義務付けるため、必要な立法その他の措置をとる。」とあり、90日間のアクセスログの保存が求められています。
• PCI DSSのガイドライン：PCIDSS4.0によると「すぐチェックできるように直近3ヶ月、過去1年間は最低保管」という要件になっています。
• 不正アクセス禁止法：不正アクセス禁止法による違反の時効は3年間と設定されており、3年間の保存は最低でも必要になります。
• 内部統制関連文書・有価証券報告書の保存期間：内部統制に関する文書や、有価証券報告書（企業の財務状況や経営成績を開示するための文書）の保存期間は、金融商品取引法や会社法などの規定に基づき、5年間とされています。
• 電子計算機使用詐欺罪：電子計算機使用詐欺罪では、コンピュータやデータを不正に操作して財産上の利益を得る行為が処罰の対象となり、時効は7年間なっています。そのため、それらを証明するために、7年分のデータの保存が望ましいです。
• 『不当利得返還請求』等民法上の請求権期限、及び総勘定元帳の保管期限：『不当利得返還請求』等民法上の請求権期限、及び総勘定元帳は、法律上の根拠なく利益を得た者に対し、その返還を求めることができる請求権で、時効は10年間とされていて、最大10年間の不当利得返還請求を遡ることも可能です。ただし、法人税や所得税などによっても年数の変動はあります。

アクセスログや監査証跡を保存する際のベストプラクティス

アクセスログは、システムのセキュリティ維持やコンプライアンス遵守、インシデント対応のために不可欠です。ここでは、アクセスログを保存する際のベストプラクティスについて詳しく解説します。

組織でのログの保存期間を明確に定める

アクセスログや監査証跡の保存期間は、業界標準や法規制に基づいて適切に設定する必要があります。たとえば、クレジットカード業界のセキュリティ基準であるPCI DSSでは、直近3か月間のログは即座に参照可能な状態で保持し、過去1年間のログは最低限保管することが求められています。また、日本の金融業界においては、内部統制の観点や日本版SOX法であるJ-SOXから最低でも7年間のログ保管が推奨されるケースが一般的です。

保存期間が短すぎると、セキュリティインシデントの調査や監査の際に必要なデータが不足し、適切な対応ができない可能性があります。一方で、過度に長期間保存すると、データ管理のコストが増大し、不要なリスクを抱えることになります。そのため、自社の業務や関連法規を踏まえ、適切な期間を設定し、不要になったログは安全に削除するポリシーを策定することが重要になります。

アクセス制御

監査証跡には、ユーザーIDや操作履歴、変更内容、アクセス日時といった機密性の高い情報が含まれています。そのため、不正アクセスや内部からの不正操作を防ぐために、厳格なアクセス制御を実施することが求められます。

特に、ログの閲覧や管理ができるユーザーは最小限に限定し、必要以上の権限を与えないようにすることが重要です。たとえば、システム管理者がすべてのログを自由に操作できる状態では、不正な変更や削除が行われるリスクがあります。これを防ぐために、役割ベースのアクセス制御（RBAC）を導入し、業務上必要な権限のみを付与する仕組みの構築などが求められます。

加えて、ジャストインタイムアクセス（JITアクセス）を活用することで、アクセス権限の恒久的な付与を避け、必要なときにのみ一時的なアクセスを許可する仕組みを導入することで不正アクセスのリスクをさらに低減できます。

ログの完全性と改ざん防止

アクセスログや監査証跡の信頼性を確保するためには、改ざんを防ぐための対策を講じる必要があります。ログが改ざんされると、セキュリティインシデントの調査が困難になり、不正アクセスや情報漏洩の発覚が遅れる可能性があります。

そのため、常に機密性の高いデータに対しては、最小権限の原則を適用し、特権アクセスが行われる際にリアルタイムで監視を行うことで、ログの改ざんが行われる前に不正行為を検出し、対応できるようになります。

さらに、定期的にログのハッシュ値を記録し、整合性を確認することで、意図しない変更が行われていないかを検証できます。

暗号化された環境での保護

アクセスログや監査証跡には機密情報が含まれるため、外部からの不正アクセスや情報漏洩を防ぐために適切な暗号化を施すことが求められます。

保存時の暗号化には、AES-256といった強力な暗号化アルゴリズムが使用されていることが望ましいです。

また、ゼロ知識暗号化を提示しているソリューションを活用することで、さらに高いセキュリティを確保できます。ゼロ知識暗号では、ログデータの管理者でさえもその内容を知ることができない仕組みが導入されるため、不正アクセスのリスクを最小限に抑えることが可能です。この方式をが採用された環境では、万が一データが漏洩しても、正当な認証なしにログの内容が解読されることはありません。

ログの収集・保存の自動化

手作業でログを収集・保存する方法は、運用負担が大きく、ヒューマンエラーによる漏れや不正のリスクが高まるため、可能な限り自動化を進めることが推奨されます。

効率的なログ管理のために、SIEM（Security Information and Event Management）ツールの導入を検討するのが望ましいです。

SIEMツールを使用すれば、システム全体のログを一元管理し、異常なアクセスや不正な動きをリアルタイムで検出することができます。

さらに、SIEMとPAM（Privileged Access Management）を連携させることで、特権アクセスの監視と管理を強化できます。PAMは、特権アカウントのアクセスを制御し、適切な認証・承認プロセスを経た上でアクセスを許可する仕組みを提供します。このPAMのログをSIEMに統合することで、特権ユーザーの行動を可視化し、リスクのある操作や不審な挙動を迅速に検出できるようになります。

たとえば、PAMで特権アカウントの一時的なアクセスが承認された場合、そのアクセスログをSIEMがリアルタイムで分析し、通常の操作パターンと比較することで異常を検知できます。不審な操作が検出された場合には、アラートを発し、即座に管理者へ通知することで、セキュリティインシデントを未然に防ぐことが可能になります。

また、PAMとSIEMの連携により、コンプライアンス要件への対応も強化されます。特権アクセスの詳細なログが適切に記録・管理されることで、監査対応が容易になり、規制要件を満たすための証跡を確保できます。

まとめ：PAMやSIEMなどのソリューションを活用して強力なログ管理

適切なログ管理は、セキュリティ対策の要となります。組織内での機密データに対する最小権限の原則に基づいたアクセス制御やログの完全性を確保し、改ざんを防ぐ仕組みが不可欠です。そのために、PAMやSIEMなどのソリューションを活用することが重要です。

たとえば、KeeperPAM®︎のような次世代型のPAMソリューションを導入することで、特権アクセスの適切な管理が可能となり、監査証跡の取得・保存・監査を効率的に実施できます。

主要なSIEMソリューションと連携が可能で、高度なレポートとアラートモジュールでは、200種類に上るイベントタイプがサポートされています。

このようにJIT アクセス、RBAC、高度な監視および監査機能などの主要機能を備えた KeeperPAM は、特権アカウントの安全な管理と制御を簡素化し、組織をより強化します。

今すぐ KeeperPAMのデモをリクエストして、組織の監査ログを安全に管理し、機密データを保護しましょう。