セキュリティチェックシート：管理者操作の記録（監査ログ）テンプレ

### このページの目的 「管理者は神ではない（監視されている）」ことを証明するためのテンプレートです。内部不正対策として最重要項目です。 ### 得られるもの - 特権ID操作の透明性をアピールする表現 - クラウド（AWS/GCP）の管理者ログ設定 - 「管理者の悪事」をどう防ぐかのロジック --- ### 回答テンプレート #### パターンA：包括的取得（標準） ```text システム管理権限を持つユーザーの操作は、アプリケーションログとは独立した監査ログ基盤（AWS CloudTrail等）にて全て記録されています。 記録対象には、ログイン、構成変更、データのエクスポート/削除、権限変更が含まれ、管理者が自身のログを無効化することはできません。 ``` #### パターンB：操作内容の可視化（詳細） ```text 本番サーバー上でのコマンド操作（SSH/RDP）は、Session Manager等を用いて操作内容（キーストロークまたは画面）を記録しています。 rmコマンド等の危険な操作や、大量データの持ち出しコマンドはアラート対象として設定され、即時にセキュリティ責任者へ通知されます。 ``` --- ### 添付・証跡として用意すべきもの 1. **CloudTrail等のイベント履歴**: Adminユーザーによる操作（例：SecurityGroup変更）が記録されている行。 2. **アラート通知メール**: 「管理者権限が使用されました」という通知メールの例。 ### やってはいけないNG回答 - ❌ 「サーバーに入ってhistoryコマンドで見ます」（改ざん容易・不完全） - ❌ 「信頼できる社員しか管理者にしていない」（性善説NG） ### 最小構成 vs 推奨構成 | 項目 | Minimum（最低ライン） | Recommended（推奨ライン） | |---|---|---| | **取得範囲** | 「やったこと」の結果のみ | 操作中の画面/コマンドも記録 | | **保管** | ローカルディスク | 別アカウントのバケットへ転送 |