ログ保持とは

ログは、組織にとって情報の宝庫となる可能性があります。適切に管理すれば、（アプリケーションコンポーネントとユーザーの両方の）システムの振る舞いの把握、規制の遵守、将来の攻撃の防止に役立ちます。

ログ保持は、組織がセキュリティに関連するログファイルを保存する方法と、保存する期間を指します。これはログ管理の重要な部分であり、サイバーセキュリティに不可欠です。ログ保持に慎重かつ戦略的に取り組むことは、企業コンプライアンスを実現し、セキュリティ分析を効果的に行い、運用の効率を改善することにつながります。

この記事では、ログ保持のコアコンセプトについて説明し、法的コンプライアンスとセキュリティにおけるその重要性を示します。また、ログ保持の戦略を実施する際の考慮事項を見ていきます。

コアコンセプト

ログ保持では、組織がログファイルを保存する方法と保存する期間を扱います。ログファイルは、環境全体のさまざまなシステム、アーキテクチャコンポーネント、アプリケーションによって生成されます。これらのさまざまなタイプのログには、それぞれ独自の目的があります。

• システムログ：システムログは、オペレーティングシステムによって生成されます。多くの場合、ハードウェアやソフトウェアの問題のトラブルシューティングに使用されます。
• アプリケーションログ：アプリケーションログは、特定のソフトウェアアプリケーションから取得されます。アプリケーション固有の問題のデバッグやアプリケーションアクティビティのモニタリングに役立ちます。
• セキュリティログ：セキュリティログは、ログイン、特定のリソースへのアクセス、管理アクションの実行など、セキュリティ関連のイベントを記録し、インシデント対応およびコンプライアンスに不可欠です。
• 監査ログ：監査ログはデータに対する変更やアクセスを追跡し、多くの場合、企業コンプライアンスに必要です。

ログ保持の重要性

ログ保持は、組織内で多くの目的を果たすことがあります。確かに、インシデントのトラブルシューティングやパフォーマンスモニタリングのための履歴レコードの維持に関係しています。しかし、サイバーセキュリティにおけるログ保持の役割はさらに重要です。このセクションでは、サイバーセキュリティのコンテキストでログ保持が果たす重要な役割に焦点を絞って説明します。

法的コンプライアンスは、多くの場合、ログ保持について議論するときに最初に思い浮かぶことの1つです。多くの業界には、特定のタイプのログを一定期間保持することを義務付ける厳重な規制があります。組織はこれを遵守できない場合、厳しい罰金を科せられたり法的影響を受けたりする可能性があります。そのため、ログ保持は単なるベストプラクティスではなく法的に必要なものとなっています。

セキュリティに関しては、ログ保持は多くの役割を果たします。保持されているログのAIネイティブな分析により、正常なアクティビティのベースラインを確立できます。これらのインサイトをログのリアルタイムモニタリングと組み合わせると、サイバーセキュリティプラットフォームでは、進行中のセキュリティインシデントの可能性がある異常を特定できます。このように使用されるログは、脅威検知の早期警告システムとしての役割を果たします。

保持されているログにより、アクションの監査証跡が提供され、セキュリティチームはインシデント調査が可能になります。攻撃者のステップをたどってインシデントの範囲をより的確に把握できます。

最後に、脅威ハンティングでは、組織は保持されているログをプロアクティブに分析して、初めは見落とされていた可能性がある侵害の兆候を特定できます。このアプローチにより、潜在的な脅威に対する予防装置を講じることができます。

ログ保持とは何か、そしてその重要性について見てきました。それでは、企業が効果的なログ保持の戦略を実施するには何に留意すべきかに焦点を移しましょう。

ログ保持の戦略を構築する際の主な考慮事項

ログ保持の計画を戦略的かつ綿密に練ることで、組織は法律上の問題を回避し、セキュリティリスクから保護できます。ログ管理ソリューションを選択し、ログ保持の戦略を策定する場合に考慮すべきいくつかの重要な要素を次に示します。

ログ保持のポリシー

ログ保持のポリシーは、戦略のバックボーンです。各タイプのログを保存する期間および保持期間の終わりに達したときに何を行う必要があるかを示します。ポリシーを法的要件と運用ニーズを満たすようにカスタマイズします。

例えば、医療機関は、セキュリティログは1年間、患者データに関連する監査ログは7年間保持する必要がある場合があります。

ストレージソリューション

ログストレージソリューションの選択も重要です。オンプレミスストレージは詳細に制御できますが、コストがかかり、スケーリングが困難な場合があります。一方、クラウドストレージは、無制限のスケーラビリティがあり、多くの場合、費用対効果が高くなります。一部の組織は、オンプレミスストレージとクラウドストレージの両方を利用して特定のニーズを満たすハイブリッドソリューションを選択します。

ほとんどの組織にとって、クラウドストレージが最適な選択です。

セキュリティに関する懸念事項

ログ保持について考える場合、最優先事項はセキュリティです。次の質問をしてください。

• アクセス制御対策を実施していますか。ログを表示するためのアクセス権は、許可された人員のみが持つようにします。
• どのタイプのログファイルを暗号化して保存する必要がありますか。これは、特にログに機密情報が含まれている場合に重要になる考慮事項です。
• ログの整合性を確保するために、どのような手順を実行する必要がありますか。例えば、暗号化ハッシュを使用して、ログが改ざんされていないことを確認できます。

検索パフォーマンス

利用可能なログデータの量は膨大になるため、ログをすばやく検索できる機能は不可欠です。これは、特にインシデント対応に関して顕著になります。優れたログ管理ソリューションは、必要な情報を遅延なく見つけるために役立つ強力な検索機能を提供します。

レイテンシーまたは取り込みの遅延

インシデント対応と分析をタイムリーに行うには、リアルタイムまたはほぼリアルタイムのログの取り込みが必要です。ログの取り込みが大幅に遅延すると、セキュリティインシデントに迅速に対応できなくなります。レイテンシーを最小限に抑えるログ管理ソリューションを選択します。

スケーラビリティ

組織の成長に伴ってログの量も増加します。選択したログ保持のソリューションは、このような増加に対応できるでしょうか。増大するデータ負荷に対応するために、既存のシステムを完全に見直すことなく容易に拡張できるソリューションを検討してください。

コスト

最も機能豊富なソリューションを選択したくなりますが、最も重要な考慮事項は、おそらく費用対効果です。一部のログ管理ソリューションでは、特にログを長期間保持する場合にストレージコストが急速に上昇する可能性があります。機能と低い総所有コストのバランスが取れたソリューションを探すようにします。

シームレスな統合

効果を最大化するには、ログ保持のシステムが単独で存在しないようにします。サイバーセキュリティ技術スタックの他のツールと容易に統合できる必要があります。さらに、拡張性を備え、自動化、AIネイティブな分析、脅威インテリジェンスなどの機能で強化できるようにする必要があります。

ログ保持の次のステップ

法的コンプライアンスおよび脅威検知やインシデント調査などのセキュリティ運用で重要な役割を持つログ保持は、効果的なサイバーセキュリティ戦略に不可欠です。ログ保持はログ管理の重要な側面となるため、企業はソリューションを慎重に検討する必要があります。

一元化されたログ管理と、次世代のセキュリティ情報およびイベント管理 (SIEM) ソリューションを探している場合は、CrowdStrike^® Falcon LogScale™が最適なソリューションである可能性があります。Falcon LogScaleは、無限の可視性を実現するために脅威をリアルタイムで発見し、超高速検索で調査を加速し、1日に最大1ペタバイトのデータを収集することで、脅威の検知、調査、対応に変革をもたらします。Falcon LogScaleを使用すると、すべてをログに記録してあらゆることにリアルタイムで対応でき、従来のSIEMソリューションと比較して最大80%節約できます。

組織のサイバーセキュリティにおける次のステップに進む準備ができたら、サインアップしてCrowdStrike Falcon^®プラットフォームを無料でお試しください。または、直接クラウドストライクに詳細をお問い合わせください。