- セキュリティ情報/セキュリティ・イベント管理の目的に対し、組織全体を通じて適切な優先順位を設定する: 該当する法律、規制、および既存の組織内ポリシーの要件を満たせるよう、ロギングおよびログ監視の要件と目的を定義します。次に、ログ管理に必要となる時間およびリソースとリスクとのバランスを考慮して、目的に優先順位を設定します。
- セキュリティ情報/セキュリティ・イベント管理のためのポリシーおよび手続きを制定する: ポリシーおよび手続きを制定することで、法律および規制を遵守することが可能になるだけでなく、組織全体を通じてそのアプローチの統一化を図ることができます。また、定期的に監査を行うことにより、ログに関する標準手順およびガイドラインが組織全体で守られているかどうかを確認できます。さらに、テストと検証のプロセスを盛り込むことで、ログ管理のポリシーおよび手続きの妥当性を検査することもできます。
- セキュリティ情報/セキュリティ・イベント管理のための強固なインフラストラクチャを構築/運用する: 安全なログ管理インフラストラクチャは、過失によるまたは意図的な変更/削除からログ・データの完全性を保護し、データの機密性を維持するのに役立ちます。このインフラストラクチャを構築するにあたっては、平時に想定されるログ・データ量を十分に処理できるようにすると同時に、特殊な状況下(マルウェアへの大量感染が発生したなど)におけるピーク・ボリュームに対応できるだけの拡張性を持たせておくことも重要になります。
- セキュリティ情報/セキュリティ・イベント管理を担当するすべてのスタッフに適切なトレーニングを行う: ログ管理のための枠組みを定義する一方で、ログ管理を担当するスタッフに対しては、適切なトレーニングを実施し、ツール等を扱うのに必要なスキルを習得させる必要があります。これには、ログ管理ツールや必要なドキュメントを提供する、テクニカル・ガイダンスを実施する、各種の情報を提供するなどの作業が含まれます。
出典:Guide
to Computer Security Log Management [PDF]
Karen Kent and Murugiah Souppaya, United States National
Institute of Standards and Technology, Gaithersburg,
Maryland, September 2006.