監査で指摘されない
「最低限のログ」とは?
結論:この3つがあればまずはOK
- 「誰が・いつ・何をしたか」が分かる管理者の操作履歴
- 本番環境へのログイン・変更履歴(デプロイログ含む)
- 1年程度¹の保存期間(規格や契約要件による)
※ 逆に「全てのアプリデバッグログ」や「全パケットログ」は監査では求められないケースが大半です。
この記事で判断できること
- • あなたの会社で「今すぐ取るべきログ」の種類
- • 「やらなくていいこと(過剰品質)」の境界線
- • 監査対応をクリアするための最短アクション
こんな状況の人向けです
- 取引先から「セキュリティチェックシート」の提出を求められた
- 急に「Pマーク」や「ISMS」を取得することになった
- ログ管理ツールが高すぎて、導入すべきか迷っている
監査で「見せて」と言われるログ (必須)
1. 特権ID利用ログ (Admin Activity)
AWSなどのクラウド基盤や、管理画面への「管理者としての操作」記録です。 権限を持つ人間が不正をしていないことを証明するために最重要です。
なぜ必要?
多くのケースで特権ID(管理者権限)の監視が最重要視されます。ここさえ押さえればリスクの大幅なカバレッジが可能とみなされます。
多くのケースで特権ID(管理者権限)の監視が最重要視されます。ここさえ押さえればリスクの大幅なカバレッジが可能とみなされます。
2. 認証・アクセスログ (Auth Logs)
「誰がログイン成功/失敗したか」の記録です。特に「失敗」の連続は攻撃の兆候として重視されます。
よくある誤解
「どのページを見たか」の詳細なアクセス解析ログまでは不要です。重要なのは「入室記録」です。
「どのページを見たか」の詳細なアクセス解析ログまでは不要です。重要なのは「入室記録」です。
よくある勘違い・過剰対応
「全てのログを保存しないといけない」
間違いです。デバッグ用の大量のプログラムログは、監査ではノイズになります。重要なのは「セキュリティイベント」です。
「ツールを入れれば安心」
ツールを入れていても、設定(誰が通知を受け取るか、いつ消えるか)が決まっていなければ監査では不合格になります。
判断の分かれ目
| 条件 | 求められるレベル |
|---|---|
| 一般的なBtoBサービス | クラウド標準のログ(CloudTrail等)を1年間保存していれば合格ライン。 |
| 個人情報を大量に扱う / 金融 | 必須: ログの改ざん防止措置(Immutable)と、ログへのアクセス制御。 |
| SOC2 / 上場審査 | 必須: 「四半期に一度ログを確認した」という運用記録(Evidence)。 |
まとめ:まず今すぐやるべきこと
まずは「クラウドのログ保存期間の設定」を見てください。
デフォルトで30日や90日で消える設定になっていませんか?
これを「1年」に変えるだけで、最初のリスク回避は完了です。
自分のケースを詳しく知りたい人向け30秒で監査ログ要件を診断する