はじめに
ログの管理、保存期間はどれくらいが良いのか等、組織内で議論するものの、そもそも最低どのくらいの頻度で取得してどのくらいの期間保持しておくべきなのか頭を悩ませます。
参考資料として下記にあったのですが、IPA のサイトがリニューアルされたことで各種コンテンツが 404 になる事象が発生しており、これもどこにいったかわからなくなってしまいました。
代替になる資料はないか探してみたら下記の「コンピュータセキュリティログ管理ガイド」なるのものを見つけました。
またなくなったら嫌なので簡単に目を通してみました。
ログ管理について
結構ボリュームある資料ですが、PDF資料の p.48~p.49 に保存期間やローテーション、分析頻度について、あくまでも目安となる例と説明が記載されていました。
保存期間は、重要度に応じて最低数週間〜1年程度、取得頻度は、重要度に応じて5分程度〜数時間や1日ごと程度、ログローテーション頻度は最低でも15分に1回程度〜... と保存期間だけではなく、考慮した方が良い点についての例が記載されていました。
これをベースにしつつ、ログ管理に関する法的な事項についても考慮した上で、組織に合った適切なポリシーを定義し、随時見直していくという形になっていきそうです。 ログの保存に関しては、今のところ(2023/6現在)やはり一般的なルールのようなものはなさそうに思われました、多分。
まとめ
ログ管理について考える時の参考資料として、「コンピュータセキュリティログ管理ガイド」があったので、少し目を通してみました。 細かい点で考えることは多いですが、ログ保存期間については、法律上または規制の変化を追いかけつつ、ログに含まれるプライバシーな情報等もケアしながら、保存・分析等を行なっていく体制等を、組織のさまざまな状態・状況に合わせて定義していく必要はありそうでした。
