セキュリティ・ログを定期的に分析および調査することは、詐欺的なアクティビティやシステム運用上の問題、ポリシー違反、セキュリティ上の問題を検出すると共に、これらの 問題解決に役立つ情報を得ることができるという点で、組織にとって大いに意味のあることです。またログは、平時におけるアクティビティの把握や長期的な問題の洗い出し、監査およびフォレンジック分析の実施、オペレーションの傾向追跡などにも役立ちます。
ログ管理にはこうした生来的なメリットがあるほか、最近では各種の規制によって、ログ を保存し、定期的に調査することが組織に求められるようになっています。このような規制の中で特に重要なものと、そこで求められるログ管理に関する要件を以下に示します。
- Federal Information Security Management Act of 2002(FISMA: 米国連邦情報セキュ リティ管理法): FISMA は、米国の連邦政府機関において、その資産および運営をサポートするコンピュータ・システムの情報セキュリティを提供する、組織全体レベルのプログラムを策定、文書化、および実装することの必要性を重視しています。連邦政府機関における推奨管理策についての主要な出典である NIST SP 800-53「Recommended Security Controls for Federal Information Systems」では、ログ管理(監査記録の生成、調査、保護、および保存を含む)に関する複数の方策がまとめられています。
- Gramm-Leach-Bliley Act(GLBA: 米国金融制度改革法): GLBA は、金融機関に対し、顧客の情報をセキュリティ上の脅威から保護するよう義務付けています。ログ管理は、セキュリティ違反の可能性を見つけ出し、それらを迅速に解決するのに役立ちます。
- Health Insurance Portability and Accountability Act of 1996(HIPAA: 医療保険の 相互運用性と説明責任に関する法律): HIPAA には、特定の医療情報に関するセキュリテ ィ基準が定められています。NIST SP 800-66「An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule」には、HIPAA に関係するログ管理の要件がまとめられています。例えば、 NIST SP 800-66の第4.1項では、監査ログおよびアクセス・レポートの調査を定期的に実施することが定められています。また第4.22項では、アクションおよびアクティビティに関する文書は、少なくとも6年間保存しておく必要があると定められています。
- Sarbanes-Oxley Act of 2002(サーベンス・オクスリー法: 米国企業改革法、略称 SOX 法): SOX 法は主に、財務および会計原則に適用されるものですが、これらの活動を支援する IT 機能についての条項も含まれています。SOX 法では、定期的にログを調査して不正アクセスなどのセキュリティ違反の痕跡がないかどうかを確認することのほか、監査役が後でチェックできるように、ログ自体やログ調査の記録を保存しておくことが義務付けられています。
- Payment Card Industry Data Security Standard(PCI DSS): PCI DSSは、クレジット・カード所有者のデータを処理、保有、または転送する組織に適用される基準です。PCI DSS では、ネットワーク・リソースやカード所有者のデータへのあらゆるアクセスを追跡することなどが要件として定められています。
出典: Guide to Computer Security Log Management [PDF] Karen Kent and Murugiah Souppaya, United States National Institute of Standards and Technology, Gaithersburg, Maryland, September 2006.