「監査証跡（ログ）の管理」は少なくとも「1年程度」必要

　14項目、計42問から構成される日本のサイバーセキュリティ・セルフアセスメントツールについて、前回に引き続き、「監査証跡（ログ）管理」「システムの脆弱性に関する管理・対応」「サイバー攻撃に関する技術的な対策」について詳しく解説することにしよう。


　ログの管理を問う設問はわずか1つにとどまる。「重要なシステムの監査証跡（ログ）について規定されているものを選択せよ」である。ここでは対象として以下の4つが挙げられている。


　設問の趣旨から「（1）」を「はい」として回答するのは問題外であることが容易に理解されよう。その上で（1）から（4）の背景を探ることにする。まず（1）は、そもそも金融機関として、内部生成される情報システムのトラフィックの重要性を認識していない可能性がある。

　通常と異なるトラフィックが生じた場合、違和感から調査を開始するのが通例であるが、そもそもログを残していなければ事後の検証のしようがないわけだ。そのため、内外からの不正侵入や痕跡を察知したり事後に検証をしたりする上では、重要と思われる情報システムにおけるアクセスログは管理対象として定義しておかねばならない。

　その上で（2）の趣旨であるが、もちろん、無制限にログを管理するなどカネとハードウェア資源の無駄にほかならないため、一定の保管期限を定義することとなる。その際、過去の不正侵入事案などを勘案すれば、話題となった暗号資産交換業での大規模な暗号資産不正流出等においては、敵は少なくとも半年間に亘って金融機関の情報システムへの侵入を試みていたであろうことが知られている。つまり事例からは最低半年間はログ管理が必要だということになる。

　ただし、侵入経路は外部からとは限らない。内部者の手引きなども想定する必要があるわけだ。そこで、こうした内部犯行のリスクなども勘案すれば、1年程度は少なくともログとして管理することが推奨されることだろう。

　いずれにしても、ログは犯罪の証拠としても有用であることから、警察への告発に際しても提出を要請される重要な対象物であることを念頭に置く必要がある。残る（3）（4）については、（1）（2）とセットで定義されるもので、ログを保管対象として定めた場合の必須項目であるので留意願いたい。とりわけ（3）は内部者の手引きによる犯行を抑止するためにも欠かせないのだ。


【次ページ】「システムの脆弱性に関する管理・対応」の考え方