セキュリティチェックシート：ログの改ざん防止はどう説明する？

### このページの目的 ログの信頼性（Integrity）を問われた際、「管理者特権濫用対策」を含めた回答をするためのテンプレートです。 ### 得られるもの - WORM（Write Once Read Many）の概念を使った回答 - クラウド機能（S3 Object Lock等）を使った具体的な対策 - コストをかけられない場合の「運用対処」回答 --- ### 回答テンプレート #### パターンA：クラウド機能利用（最強） ```text ログデータは生成後即時にAWS S3へ転送され、Object Lock（WORM機能）により一定期間（1年間）は、いかなる権限を持つユーザー（rootアカウントを含む）であっても変更・削除が不可能な状態で保管しています。 また、CloudTrailの整合性検証機能を有効化しており、万が一の改ざん試行も即座に検知可能です。 ``` #### パターンB：権限分離（標準的） ```text ログ保管サーバーへのアクセス権限は、システム運用担当者とは独立した「監査管理者」のみに付与しています（職務分掌）。 システム管理者が自身の操作ログを削除できないよう、ログ転送設定の変更には監査管理者の承認（MFA必須）が必要な設計としています。 ``` #### パターンC：運用対処（最小構成） ```text ログファイルは日次でバックアップサーバーへ自動転送され、ハッシュ値を取得して整合性を担保しています。 また、Git等のバージョン管理システムと同様の履歴管理を行い、削除履歴自体も監査対象として記録しています。 ``` --- ### 添付・証跡として用意すべきもの 1. **S3 Object Lock設定画面**: "Object Lock: Enabled" となっている画面。 2. **権限設定画面**: ログバケットへの「Delete」権限がDenyされているポリシー画面。 ### やってはいけないNG回答 - ❌ 「改ざんできない仕様です」（根拠がない） - ❌ 「管理者を信頼しています」（性善説は通用しない） - ❌ 「バックアップがあるので大丈夫」（バックアップごと消されるリスクへの回答になっていない） ### 最小構成 vs 推奨構成 | 項目 | Minimum（最低ライン） | Recommended（推奨ライン） | |---|---|---| | **保存先** | 別サーバーへコピー | WORM（書き込み禁止）ストレージ | | **権限** | 管理者IDを使い分ける | システム管理者とログ管理者をIDレベルで分離 |