監査ログの完全ガイド：5W1H要件と保存期間の決定版

### このガイドの目的 監査対応における「過剰投資」と「要件不足」を防ぐことです。 監査人はなんとなくログを見ているのではなく、明確なフレームワーク（誰が、いつ、何を）に基づいてチェックしています。 この基準を知ることで、安価なツールで済ませるか、高機能なSIEMが必要かを判断できます。 ### 1. 監査証跡に必須な「5W1H」 監査ログが「証拠（Evidence）」として認められるためには、以下の要素が**1つのログ行**、あるいは**紐付け可能な状態**で記録されている必要があります。 | 要素 | 英語 | ログ等の具体例 | 失敗例（NG） | |---|---|---|---| | **いつ** | When | `2024-02-06T12:00:00Z` | `12:00` (日付やTimezone不明) | | **誰が** | Who | `user_id: 1001` | `root` (個人特定不可) | | **何を** | What | `Action: DeleteVolume` | `Action: API_Call` (具体性なし) | | **対象** | Object | `vol-0xxxxxxx` | 対象IDなし | | **結果** | Result | `Status: Failure` | 成功ログしか取っていない（失敗こそ重要）| | **元** | Source | `src_ip: 203.0.113.1` | 内部IPしか記録がない | ### 2. 保存期間の判断基準 (Retention Policy) 「なんとなく1年」は危険です。自社が準拠すべきルールを確認してください。 #### A. 3ヶ月〜1年 (最低限) - **対象**: 一般的なWebサービス、スタートアップ - **根拠**: - サイバー攻撃の検知から鎮静化までの平均期間（約250日）をカバーするため。 - GDPRなどのプライバシー保護（不要なデータは捨てる原則）。 #### B. 3年〜5年 (業界標準) - **対象**: 医療（電子カルテ）、Pマーク/ISMS取得企業 - **根拠**: - 医療関連法令（診療録等）の保存義務。 - 契約上の瑕疵担保責任期間など。 #### C. 7年〜10年 (金融・税務) - **対象**: 金融機関、EC（決済関連）、会計システム - **根拠**: - **法人税法**: 取引に関する書類・データは7年（欠損金の繰越がある場合は10年）。 - **電子帳簿保存法**: ログが「データの訂正削除履歴」として扱われる場合。 ### 3. よくある落とし穴 - **容量不足ローテーション**: サーバーのディスクがいっぱいになり、古いログから勝手に消えていた（一番多い指摘事項）。 - **時刻ズレ**: WebサーバーとDBサーバーの時刻がズレており、インシデント調査で突き合わせができなかった。 - **管理者権限の濫用**: `admin` ユーザーの操作ログが、その `admin` 自身によって消去されていた（ログの保全性欠如）。 ### 次のアクション - [【診断】ログ保存期間チェック](/diagnosis/log-retention-check/) で自社の要件を確定する。 - [SaaS向け最小ログ回答](/templates/saas-minimum-logging-pack/) を使って顧客に回答する。