提出前チェック：セキュリティチェックシート（ログ・監査証跡）

### このページの目的 セキュリティチェックシートを提出する前に、ログ・監査関連の「よくある不備」を潰すための最終確認リストです。 ### 得られるもの - 監査担当者がどこを見ているかの視点 - 「No」になりがちな項目のリカバリー策 - 提出後の追加質問対策 --- ### 提出前チェックリスト（全15項目） #### A. 必須要件（これがNoだと落ちる可能性大） - [ ] **特権IDのログは取っているか？** - 管理者（admin/root）の操作こそが最大のリスクです。「一般ユーザーは取っているが管理者は作業効率優先で取っていない」はNGです。 - [ ] **ログの時刻は正確か（NTP同期）？** - 「時刻がずれているログ」は証拠能力ゼロです。クラウド（AWS/GCP等）なら自動同期されていますが、オンプレサーバーの場合はntp設定を確認してください。 - [ ] **パスワードはログに含まれていないか？** - ログイン失敗ログなどで、誤ってパスワードそのものを記録していませんか？（マスキング必須） - [ ] **ログ自体を守っているか？** - ログファイルが誰でも編集・削除できる場所に置いてありませんか？（アクセス権限の確認） - [ ] **バックアップは取っているか？** - ログサーバーが死んだらログも消える構成になっていませんか？ #### B. 推奨要件（Yesだと加点・信頼アップ） - [ ] **保存期間は1年以上か？** - 「3ヶ月」と答えるより「1年」の方が心証が良いです（アーカイブ含む）。 - [ ] **定期的なレビューをしているか？** - 「取りっぱなし」ではなく、「月1回はアラート件数を確認している」等の運用実態があると強いです。 - [ ] **ログの改ざん検知・防止機能はあるか？** - S3 Object Lockや、整合性検証機能の使用有無。 - [ ] **外部への送信（Syslog/S3転送）をしているか？** - 侵害されたサーバー内にしかログがない場合、犯人に消されます。外部転送は強力なアピールになります。 --- ### 「No」になりそうな時のリカバリー策 正直に「No」と書くとリスク評価が高くなりすぎます。以下のように「代替策」で補いましょう。 - **Q. リアルタイム検知（SIEM）を入れていますか？** - A. （SIEMはないが）「WAFおよびクラウド基盤のアラート機能を活用し、異常検知時は管理者に即時メール通知される体制をとっています。」 - **Q. ログの定期レビューをしていますか？** - A. （全件目視は無理だが）「権限変更や認証失敗など、重要イベントに絞ったレポートを月次で確認しています。」 ### ありがちな抜け漏れ（Top 5） 1. **退職者のID削除ログ**: 退職プロセスとログが紐付いているか？ 2. **APIキーの利用ログ**: 画面操作だけでなくAPI経由の操作も記録されているか？ 3. **開発環境のログ**: 本番データを使っている場合、開発環境も監査対象になります。 4. **外部ベンダーの操作**: 保守業者のアクセス記録は残っていますか？ 5. **容量超過時の挙動**: ディスクがいっぱいになった時、ログは止まるのか上書きされるのか把握していますか？