ベストプラクティス

ログ保持とは? 概要とベストプラクティス

ログの保持、ログの保持ポリシーの重要性、ベストプラクティスなどについて知っておく必要があることは次のとおりです。 

ログ保持とは何ですか?

誰も見ていないログを保存するためにお金を払うという考えは無駄に思えるかもしれません。

まあ、それはあなたがそれらのログを必要とするまでです。 

その時点で、ログの保持がいかに重要であるかがわかります。特に、セキュリティやコンプライアンスの問題がある場合、または大規模な停止の事後検証の場合に重要です。ログの保持を優先すると、ログとメトリックのデータを 1 つのプラットフォームに一元管理すると、インシデントを調査したり、監査用のデータを提供したりするために過去を振り返ることができます。

ログは、長くて複雑なテキスト ファイルである必要はありません。ログは一時的なデータ イベントであり、クライアント更新イベント、ネットワーク フロー データ、Web サーバー ログなど、どこからでも取得できます。すべてのデジタル アクションによってログが作成されます。ただし、すべてのログが収集されたとしても、すべてが保存されるわけではありません。

ログの保持について知っておくべきこと、ログの保持ポリシーの重要性、 ベストプラクティス、 もっと。 

内容

ログ保持とは何ですか?

ログの保持とは、これらのログエントリを保存する期間に関する、イベントログ、特にセキュリティに関連するログのアーカイブを指します。 これらのエントリは通常、すべてのサイバーセキュリティを参照しており、企業はセキュリティ関連の活動に関する情報を保持できます。 記録を保持することにより、ITチームはネットワーク上で発生しているアクティビティに関する重要な洞察を得ることができます。

ログ保持とは、ログ データを一定期間保存し、アーカイブする場所を指定するポリシーとプラクティスを指します。保持期間と呼ばれるこの期間は、ログ ファイルと関連データが削除またはアーカイブされるまでの保存期間を決定します。ログ保持は、さまざまなトラブルシューティング、運用、セキュリティ、コンプライアンス、分析の目的にとって重要です。

たとえば、エラー コードがいつ、どのシステムで発生し始めたか。システムでどのようなアクティビティがいつ実行されたか。そのアクティビティにはどのユーザー アカウントまたはソフトウェアが関与し、結果はどうだったか。

ログタイプとは何ですか?

ログの保持とは、組織がログ ファイルをどこにどのくらいの期間保存するかということです。これらのファイルは、さまざまなシステム、アーキテクチャの一部、さまざまな環境のアプリによって作成されます。ログの種類ごとに目的が異なります。

  • システムログ: オペレーティング システムによって生成され、ハードウェアまたはソフトウェアの問題のトラブルシューティングによく使用されます。
  • アプリケーション ログ: これらはソフトウェア アプリケーションに固有のものであり、特定のアプリケーションの問題をデバッグしたり、アプリケーションのアクティビティを監視したりするのに役立ちます。 
  • セキュリティ ログ: ログイン、特定のリソースへのアクセス、管理タスクなど、セキュリティ関連のすべてのイベントを記録します。これらは、インシデント対応とコンプライアンスにとって重要です。
  • 監査ログ: これらは、規制遵守に不可欠なデータの変更とアクセスを追跡します。

ログ保存期間とは何ですか?

ログ保持期間は、ログを保持する時間です。 たとえば、監査ログとファイアウォールログをXNUMXか月間保持できます。 ただし、組織が厳格な法律や規制に従わなければならない場合は、最も重要なログをXNUMXか月からXNUMX年の間のどこにでも保持できます。 この時間枠はログ保持期間です。 

ログを長期間保持することは、セキュリティとコンプライアンスの対策に最適です。 ただし、これにはコストがかかる可能性があります。 そのため、設定されたログ保持期間の概要を示すログ保持ポリシーを作成する必要があります。 

ログの保持期間を正当化するための典型的な違反発見のタイムラインについて考えてみてください。 インシデントを発見するための平均的なタイムラインは 100 200日に ソースによって異なります。 その意味で、ログをXNUMX年間保持することは賢明です。 

ログデータをどれくらいの期間保存する必要がありますか?

この質問への答えはそれが依存するということです。 

ログデータを18年以内に保存する企業もあれば、規制の義務を遵守しなければならない組織もあります。 この場合、セキュリティログを数年間保持する必要がある場合があります。 すべての組織はさまざまなビジネス環境で運営されています。 ある組織はXNUMXか月間ログを保持する場合がありますが、別の組織はXNUMXか月以上ログを保持する場合があります。

重要なのは、ビジネスの性質に基づいて、組織が準拠する必要のある要件を知ることです。 

「効果的なログ保持ポリシーにより、組織はコンプライアンスを維持し、セキュリティを向上させ、徹底したインシデント調査を促進できます。」

ほとんどの組織では、最低1年でほとんどの規制要件を満たすことができます。ただし、組織の業界標準、規制、法律、および会社の方針に留意する必要があります。 サイバーセキュリティー 懸念

たとえば、 バーゼルIIアコード、国際銀行は、活動ログを3〜7年間保持する必要があります。 それに比べて、eコマース企業は監査ログを少なくともXNUMXか月間保持する必要があります。 VISAカード会員情報セキュリティプログラム(CISP)。 ヘルスケア業界にいる場合は、次のことを考慮する必要があります。 医療保険の相互運用性と説明責任に関する法律(HIPAA)、患者のデータを保護し、最大XNUMX年間ログを保持します。 

主な考慮事項のいくつかを次に示します。

  • コンプライアンス: ログ メッセージを保存する規制上の理由は何ですか? また、保存期間はどのくらいですか? GDPR, PCI, ニスポム、および企業ポリシーはすべてここで機能します。 たとえば、個人を特定できる情報を含む特定のログを短期間保持する必要がありますか? これらのログの一部のフィールドを暗号化する必要がありますか?
  • 運用上のニーズ: 第三者の著作権侵害の申し立てやその他の潜在的な法的問題など、事後にログが役立つユースケースはありますか?
  • コスト: 丸太は場所を取り、場所を取るにはお金がかかります。ある丸太を長期間保管することが、丸太がもたらす利益を上回る時が来ます。 

コストとストレージソリューションの管理

ログ保持のコストとストレージを効果的に管理することは、コンプライアンス、セキュリティ、予算のバランスをとるために重要です。徹底的なコスト分析から始め、オンプレミスとクラウドのストレージ オプションを比較します。AWS や Azure などのクラウド ストレージは、スケーラビリティと従量課金モデルを提供しており、データのニーズが増大するにつれてコスト効率が向上します。

コストを最適化するために階層型ストレージ ソリューションを実装します。つまり、頻繁にアクセスされるログを高性能 (かつ高コスト) のストレージに保存し、あまり頻繁にアクセスされないログを安価で低速のストレージにアーカイブします。データ圧縮と重複排除を使用して、ストレージのニーズとコストを最小限に抑えます。自動アーカイブ ソリューションを使用すると、古くなったログをよりコスト効率の高いストレージ階層に移動できます。

クラウド プロバイダーのストレージ分析やコスト管理ツールなどの監視ツールは、使用状況とコストを追跡し、ストレージ戦略を最適化するための洞察を提供するのに役立ちます。このアプローチにより、コンプライアンスが確保され、データの整合性が維持されると同時に、ストレージ コストが管理可能な範囲に抑えられます。

ストレージ オプションを慎重に評価し、コスト削減戦略を使用することで、組織はセキュリティとコンプライアンスのニーズを満たしながら、ログ保持費用を効率的に管理できます。

ログ保持ポリシーとは何ですか?

ログ保存ポリシーは、組織内でログデータがどのくらいの期間保存され、管理され、最終的に廃棄されるかを規定する正式なガイドラインのセットです。このポリシーにより、 ログデータは保持されます 適切な期間、規制、運用、セキュリティの要件を満たすと同時に、ストレージ コストを管理し、データの整合性を維持する必要があります。保持ポリシーは、社内のみに適用することも、業界で義務付けられたポリシーにすることも、この 2 つを組み合わせたものにすることもできます。ログ保持ポリシーは、厳密に適用せずに企業が従う基本的なガイドラインにすることも、特定の監査要件で厳格に適用することもできます。多くの企業ではログ保持ポリシーがなく、すべてのログの価値やビジネス目的が同じというわけではありません。

保持ポリシーを定義する場合、ポリシーを定義するために考慮すべき事項と決定事項は次のとおりです。

  • どのような種類のログデータを保存しますか?
  • 各ログタイプの分類とビジネス目的は何ですか?
  • 各ログタイプをどれくらいの期間保存しますか?
  • 新しいログ タイプまたは未定義のログ タイプが使用可能になった場合、デフォルトの保持期間はどうなりますか?
  • このデータをどのくらいの頻度で検索する予定ですか?
  • 検索頻度と保存期間に基づいて、このログ データはどこにアーカイブされ、保存されますか?
  • 各ストレージ/アーカイブ タイプのコストはいくらですか?
  • 各ログタイプの予想量はどれくらいですか?
  • 私の業界に適用される規制、監査、コンプライアンスのルールやガイドラインはありますか?
  • データの機密性は懸念事項ですか? また、どのログ タイプに適用されますか?
  • オンラインデータとオフラインデータ(凍結データと解凍データとホットデータ)

ここでは簡単です バッファロー大学のログ保存ポリシーの例このポリシーでは、ログファイルの保存期間とログの種類が次のように指定されます。 ログファイルの保持ガイドラインログ ファイルの種類が IDM 監査や UNIX 認証/ログインなどの 30 つのカテゴリのいずれかに該当しない限り、デフォルトのログ保持期間は XNUMX 日間です。これらの場合、保持期間は XNUMX か月です。ログ ファイルの処理方法に関する手順は、ポリシーに記載されています。組織やインフラストラクチャによっては、ポリシーがより複雑になる場合があります。 

各システムに対して複数の保持ポリシーを作成し、重要度に基づいて優先順位を付けることもできます。ユーザー認証やクレジットカード承認に関連するデータなど、セキュリティに関するものはすべて、拡張ログ保持ポリシーの一部にする必要があります。会計および税務コンプライアンス ソフトウェアでは、企業監査人や政府当局が遡及的な分析を要求する可能性があるため、より長い保持ポリシーが必要になる場合もあります。 

アプリケーションの使用頻度も考慮すべき点です。月に 1 回など、あまり使用しないアプリケーションがある場合は、開発者が問題の原因を確認する必要がある場合に備えて、延長保持ポリシーを検討する必要があります。使用頻度が低い場合、開発者は効果的にデバッグするためにさらに遡る必要があります。 

ビジネス記録の分類

ログ保持ポリシーでは、さまざまなカテゴリに基づいてログを分類し、データの量やデータの取り込みおよび保存方法を考慮して分類する必要があります。これには次のものが含まれます。 

  • 「保存する必要がある」ログ: これらは、法的に保存が義務付けられているファイルとイベントです。このカテゴリでは、潜在的な法的問題に関連する可能性のあるログも優先する必要があります。これらのログは、業界に関連する規制や法律で要求される期間に基づいて保存するか、潜在的な法的紛争に関連しなくなるまで保存します。 
  • 「保存したい」ログ: これらのログはビジネスにとって価値がありますが、法律で保存が義務付けられているわけではありません。ポリシーでは、これらの記録の適切なログ保存期間について規定する必要があります。また、これらのログがまだ重要であるかどうかを判断するために、ログをどのくらいの頻度で確認するかについても規定する必要があります。 
  • 「破壊」ログ: 不要になった紙の文書を細断するのと同じように、古くなったログや、会社で使用されていないが潜在的なセキュリティ上の脅威となるログを削除することが重要です。

組織にとって最も重要なログは、ビジネスや業界全体の範囲によって異なりますが、ほとんどの組織では、次のログタイプが優先されます。

  • ユーザーIDと資格情報
  • 重要な資産へのデータとアクセス時間(ファイアウォールのアクティブ化と非アクティブ化、重要なセキュリティイベントなど)
  • ログイン試行の失敗と成功
  • システム構成に加えられた変更 
  • 事件の詳細

ログ保持のベストプラクティス

ログの保持を改善する鍵は、初日からベスト プラクティスに従い、プロアクティブな戦略を実装することです。会社のログ管理と保持に関しては、常にリアクティブではなくプロアクティブであり続ける必要があります。何かが起こったときにシステムが整っていない場合、今後の取り組みが不十分、遅すぎる、またはコストがかかりすぎる可能性があります。 

ログに記録するイベントが多すぎると、最も重要なログを見つけるのが難しくなる可能性があります。 最も重要なイベントをログに記録する 重要な情報が失われたり見落とされたりしないように、ログ ログを定期的に監視する必要があります。これらのイベントには、アカウントのロックアウト、ログインの失敗、ファイル アクセスが含まれます。繰り返しになりますが、大規模な IT 環境を編成する場合、ログ管理は困難になることがあります。そのため、ベスト プラクティスに従うことがさらに重要になります。重要なログを適切に維持することは、単にセキュリティ体制が健全であるということだけではありません。次の手順を実行することで、何かが起こった場合に安心感が得られ、継続的な業務運営が可能になります。IT インフラストラクチャ全体を保護しながら、貴重な洞察を得て、適切なログに適切なタイミングでアクセスできるようにする必要があります。 

可能な場合はデータを一元的にアーカイブする

何かが起こった場合、セキュリティ ログは調査に必要な証拠として機能します。これらのログがなければ、分析を行うことはできません。ログの整合性とコンプライアンスを確保するために、ログを一元的にアーカイブすることをお勧めします。ビジネス要件、ログの種類、予想される検索ニーズによっては、すべてのログの種類を中央リポジトリに手頃な価格で保存できるとは限りませんが、適切なストレージ コスト分析は、これらの決定に役立ちます。 

これらのログをアーカイブするときは、安全な場所に保管し、できれば暗号化し、アクセス制御と監査ログが設定されていることを確認する必要があります。ハッシュ化などの他の手法も最適です。 セキュリティを強化する

アーカイブ前にログデータをリアルタイムで警告

また、ログを監視し、既知の問題、エラーコード、脅威、侵害の兆候、異常検出、ボリュームの変化に基づいて問題を特定し、リアルタイムでアラートを送信するツールを実装する必要があります。

もっと読む ログアラートとログ分析の力.

ボリュームと成長を予測する

選択したアーカイブ方法、ログの種類、取り込み方法に応じて、データの量を注意深く監視し、それを使用して通常の増加パターンと予想される量を予測する必要があります。そうすることで、ネットワークに帯域幅を追加したり、ライセンス要件を満たしたりすることで、効率的に拡張し、データ超過を回避できます。特にコンプライアンスを遵守していると考えている場合、帯域幅、ストレージ容量、ライセンス不足のためにデータを失うことは避けたいものです。 

ログ保持ポリシーを作成する

セキュリティログは、アプリケーションログデータと比較して長期間保持する必要があります。 違反や攻撃が発生した場合は、ログが証拠になります。 ただし、ログを永久に保持することは有益ではありません。これは、前述のように、ログ保持ポリシーが機能する場所です。 ログ保持ポリシーを作成すると、チームが従うべき重要なガイドラインが設定されます。

ポリシーを作成するときは、ログのセキュリティとログの保持の両方に重点を置いてください。 たとえば、APIのクライアントのデータまたは内部アクセスキーを保存していますか? これらの例は、暗号化するデータのタイプです。 

ログ保持ガイドラインは重要ですが、ログ監視も同様に重要です。このプロセスを簡単にするツールやプラットフォームを活用することで、これを実現できます。ログ分析の価値を過小評価しないでください。AI と機械学習機能を備えたツールは、ログを精査してベースラインを決定し、異常を検出します。

ログ記録プロセスが複雑になりすぎないようにする最善の方法は、このステップをシームレスにするプラットフォームに投資することです。また、プロセスに関与する人が増えるほど、エラーが発生する可能性が高くなります。統合プラットフォームを使用すると、自動化のメリットを活用できます。テクノロジーエコシステム全体の問題を調査するために必要なすべての情報に簡単にアクセスできると、プロセスが大幅に高速化されます。 LMログはこちら.

包み込む

ログの保持は、あらゆる組織の業務に不可欠な要素です。ログの一貫した監視と分析は、業務効率の向上とデータ セキュリティの確保に不可欠です。統合ログ プラットフォームに投資することで、業務を効率化し、人的エラーを最小限に抑えることができます。必要なすべての情報にすぐにアクセスできるため、組織のテクノロジー エコシステム全体の問題や異常をより迅速かつ効率的に調査できます。 

結局のところ、運用プロセスを強化し、安全なデータ管理を維持することを目指す組織にとって、効果的なログ保持プラクティスを実装することは非常に重要です。 今すぐLogicMonitorにお問い合わせください ログ分析を簡素化し、運用の自動化を改善する方法について詳しくは、こちらをご覧ください。テクノロジー エコシステム全体の問題を調査するために必要なすべての情報に簡単にアクセスできると、プロセスが大幅にスピードアップします。

著者
著者:パトリック・サイト | 別名「ログファーザー」
LogicMonitor ログの製品アーキテクト

ログ監視分野の専門家であり、製品管理、プリセールス セールス エンジニアリング、ポストセールス PS/サポートの役割にわたる 25 年以上の経験があります。

免責事項: このブログで述べられている見解は著者の見解であり、LogicMonitor またはその関連会社の見解を必ずしも反映するものではありません。

私たちのブログを購読する

このような記事をあなたの受信箱に直接お届けします