これは何
アクセスログとかどれくらいの期間保存すればいいかな?というのを検討した資料。
結論でいうと以下のように解釈してます
- アクセスログは90日
- 監査ログやリリース履歴は1年
この資料見ておけばOK
IPAの資料にまとまっていました。
https://www.ipa.go.jp/files/000052999.pdf
以下はそこからちょっとだけ掘ってみたものです。
アクセスログについて
刑事訴訟法における記述
- 刑事訴訟法 第百九十七条 3「通信履歴の電磁的記録のうち必要なものを特定し、三十日を超えない期間を定めて、これを消去しないよう、書面で求めることができる。」
- もうちょっと詳しく原文を読む http://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=323AC0000000131_20170713&openerCode=1#687
- ○3 検察官、検察事務官又は司法警察員は、差押え又は記録命令付差押えをするため必要があるときは、電気通信を行うための設備を他人の通信の用に供する事業を営む者又は自己の業務のために不特定若しくは多数の者の通信を媒介することのできる電気通信を行うための設備を設置している者に対し、その業務上記録している電気通信の送信元、送信先、通信日時その他の通信履歴の電磁的記録のうち必要なものを特定し、三十日を超えない期間を定めて、これを消去しないよう、書面で求めることができる。この場合において、当該電磁的記録について差押え又は記録命令付差押えをする必要がないと認めるに至つたときは、当該求めを取り消さなければならない。
- ○4 前項の規定により消去しないよう求める期間については、特に必要があるときは、三十日を超えない範囲内で延長することができる。ただし、消去しないよう求める期間は、通じて六十日を超えることができない。
- もうちょっと詳しく原文を読む http://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=323AC0000000131_20170713&openerCode=1#687
**【要するに】**最大で60日ログ保存しろや、と警察や検察に言われることがあるよってことと解釈
サイバー犯罪に関する条約における記述
- サイバー犯罪に関する条約 第十六条 2「必要な期間(九十日を限度とする。)、当該コンピュータ・データの完全性を保全し及び維持することを当該者に義務付けるため、必要な立法その他の措置をとる。」
- もうちょっと詳しく原文を読む https://www.mofa.go.jp/mofaj/gaiko/treaty/pdfs/treaty159_4a.pdf
- 締約国は、ある者が保有し又は管理している特定の蔵置されたコンピュータ・データを保全するよう当該者に命令することによって1の規定を実施する場合には、自国の権限のある当局が当該コンピュータ・データの開示を求めることを可能にするために必要な期間(九十日を限度とする。)、当該コンピュー
タ・データの完全性を保全し及び維持することを当該者に義務付けるため、必要な立法その他の措置をとる。締約国は、そのような命令を引き続き更新することができる旨定めることができる。
【要するに】 条約で最大で90日保存してくれと権限のある当局(警察や検察?)がいってもよいとされているみたい
監査ログについて
監査ログとかリリース履歴とかのログは以下の記述に従えば良さそう。
- PCI DSS 監査証跡の履歴を少なくとも 1 年間保持する。少なくとも 3 か月はすぐに分析できる状態にしておく
- NISC「平成 23 年度政府機関における情報システムのログ取得・管理の在り方の検討に係る調査報告書」 政府機関においてログは1年間以上保存
- SANS「Successful SIEM and Log Management Strategies for Audit andCompliance」 1 年間のイベントを保持することができれば概ねコンプライアンス規制に適合する。
【要するに】 監査証跡は1年間保存必要だが、通常のアクセスログなどはこれに該当しなさそう。本番更新履歴とかはこれくらいは残していくことになりそう。
実際保存できるかも確認しておきましょう
保存設定を90日にしていても、ディスクフルとかで保存できていなかった、みたいなことがありえます。
ちゃんとディスクスペースがあるかとか、そういうところも確認しておきましょう!