誰も見ていないログを保存するためにお金を払うという考えは無駄に思えるかもしれません。
まあ、それはあなたがそれらのログを必要とするまでです。
その時点で、特にセキュリティまたはコンプライアンスの問題がある場合に、ログの保持がどれほど価値があるかがわかります。 ログの保持を優先する場合、特にログとメトリックデータをXNUMXつのプラットフォームに集中化する場合は、過去にさかのぼってインシデントを調査したり、監査用のデータを提供したりできます。
ログの保持、ログの保持ポリシーの重要性、ベストプラクティスなどについて知っておく必要があることは次のとおりです。
内容
ログ保持とは何ですか?
ログは、長くて複雑なテキストファイルである必要はありません。 ログは一時的なデータイベントであり、クライアントの更新イベント、ネットワークフローデータ、Webサーバーログなど、どこからでも取得できます。 すべてのデジタルアクションはログを作成します。 ただし、すべてのログを収集しても、すべてが保存されるわけではありません。
ログ収集と一元化されたログ集約プロセスに続いて、ログの保持が行われます。 ログの保持 成功するための重要な要素です サイバーセキュリティー 戦略。
ログの保持とは、これらのログエントリを保存する期間に関する、イベントログ、特にセキュリティに関連するログのアーカイブを指します。 これらのエントリは通常、すべてのサイバーセキュリティを参照しており、企業はセキュリティ関連の活動に関する情報を保持できます。 記録を保持することにより、ITチームはネットワーク上で発生しているアクティビティに関する重要な洞察を得ることができます。
たとえば、システムでどのようなアクティビティがいつ実行されましたか? どのユーザーアカウントまたはソフトウェアがアクティビティに関与し、その結果はどうでしたか?
ログ保持ポリシーとは何ですか?
ベストプラクティスに従いながら、考慮する必要のある手順のXNUMXつは、ログ保持ポリシーを作成および管理することです。 このポリシーでは、ログストレージ要件の概要を説明します。
その他の考慮事項は次のとおりです。
- 保存する情報の種類と期間
- データの機密性
- オンラインデータとオフラインデータ
重要な出発点は、ファイアウォールログ(ホストまたはネットワーク)、侵入検知システム(IDS)ログ、および監査ログの圧縮コピーを保存することです。
ここにある バッファロー大学のログ保持ポリシーの例。 たとえば、ログファイルの保持時間はで指定されます ログファイルの保持ガイドライン このポリシーのために。 ログファイルの種類がIDM監査やUNIX認証/ログインなどの30つのカテゴリのいずれかに該当しない限り、デフォルトのログ保持期間はXNUMX日です。 これらの場合、保持期間はXNUMXか月です。 手順は、ログファイルの処理方法に関するポリシーに概説されています。 組織とインフラストラクチャによっては、ポリシーがより複雑になる場合があります。
また、システムごとにいくつかの保持ポリシーを作成し、それらの重要性に基づいて優先順位を付けることもできます。 セキュリティに関するものはすべて、拡張ログ保持ポリシーの一部である必要があります。 たとえば、ユーザー認証やクレジットカード認証に関連するデータ。 会計および税務コンプライアンスソフトウェアも、企業の監査人および政府当局が遡及分析を要求できるため、より長い保持ポリシーを必要とする場合があります。
アプリケーションが使用される頻度も考慮する必要があります。 月にXNUMX回など、あまり使用しないアプリケーションがある場合は、開発者が問題の原因を確認する必要がある場合に備えて、拡張保存ポリシーを検討することをお勧めします。 使用頻度が低いと、開発者はさらに戻って効果的にデバッグする必要があります。
業務記録の分類
ログ保持ポリシー内で、さまざまなカテゴリに基づいてログを分類する必要があります。 これらには以下が含まれます。
- 「保持する必要がある」ログ —これらは、法的に保存する必要のあるファイルとイベントです。 このカテゴリでは、潜在的な法的問題に関連する可能性のあるログにも優先順位を付ける必要があります。 これらのログは、業界に関連する規制や法律に必要な期間に基づいて、または潜在的な法的紛争に関連しなくなるまで保存してください。
- 「保持したい」ログ —これらのログはビジネスにとって価値がありますが、法律で保存する必要はありません。 ポリシーでは、これらのレコードの適切なログ保持期間に対処する必要があります。 また、これらのログがまだ重要であるかどうかを判断するために、これらのログがレビューされる頻度を示す必要があります。
- 「破棄」ログ —不要になったハードコピードキュメントを細断処理するのと同じように、廃止されたログや、会社で使用されていないがセキュリティ上の脅威となる可能性のあるログを削除することが重要です。
組織にとって最も重要なログは、ビジネスや業界全体の範囲によって異なりますが、ほとんどの組織では、次のログタイプが優先されます。
- ユーザーIDと資格情報
- 重要な資産へのデータとアクセス時間(ファイアウォールのアクティブ化と非アクティブ化、重要なセキュリティイベントなど)
- ログイン試行の失敗と成功
- システム構成に加えられた変更
- 事件の詳細
ログ保持期間とは何ですか?
ログ保持期間は、ログを保持する時間です。 たとえば、監査ログとファイアウォールログをXNUMXか月間保持できます。 ただし、組織が厳格な法律や規制に従わなければならない場合は、最も重要なログをXNUMXか月からXNUMX年の間のどこにでも保持できます。 この時間枠はログ保持期間です。
ログを長期間保持することは、セキュリティとコンプライアンスの対策に最適です。 ただし、これにはコストがかかる可能性があります。 そのため、設定されたログ保持期間の概要を示すログ保持ポリシーを作成する必要があります。
ログの保持期間を正当化するための典型的な違反発見のタイムラインについて考えてみてください。 インシデントを発見するための平均的なタイムラインは 100 200日に ソースによって異なります。 その意味で、ログをXNUMX年間保持することは賢明です。
ログデータはどのくらいの期間保存する必要がありますか?
この質問への答えはそれが依存するということです。
ログデータを18年以内に保存する企業もあれば、規制の義務を遵守しなければならない組織もあります。 この場合、セキュリティログを数年間保持する必要がある場合があります。 すべての組織はさまざまなビジネス環境で運営されています。 ある組織はXNUMXか月間ログを保持する場合がありますが、別の組織はXNUMXか月以上ログを保持する場合があります。
重要なのは、ビジネスの性質に基づいて、組織が準拠する必要のある要件を知ることです。
ほとんどの組織は、最低XNUMX年でほとんどの規制要件を満たしていると考えています。 ただし、組織の業界標準、規制、法律、および会社のサイバーセキュリティの懸念に注意する必要があります。
たとえば、 バーゼルIIアコード、国際銀行は、活動ログを3〜7年間保持する必要があります。 それに比べて、eコマース企業は監査ログを少なくともXNUMXか月間保持する必要があります。 VISAカード会員情報セキュリティプログラム(CISP)。 ヘルスケア業界にいる場合は、次のことを考慮する必要があります。 医療保険の相互運用性と説明責任に関する法律(HIPAA)、患者のデータを保護し、最大XNUMX年間ログを保持します。
主な考慮事項のいくつかを次に示します。
- コンプライアンス —ログメッセージを保持するための規制上の理由とその期間は何ですか? GDPR, PCI, ニスポム、および企業ポリシーはすべてここで機能します。 たとえば、個人を特定できる情報を含む特定のログを短期間保持する必要がありますか? これらのログの一部のフィールドを暗号化する必要がありますか?
- 運用上のニーズ —事後にログが有益になるユースケースはありますか? たとえば、サードパーティの著作権侵害の申し立てやその他の潜在的な合法性の問題についてはどうでしょうか。
- コスト —ログはスペースを占有し、スペースにはお金がかかります。 特定のログを長期間保存することが、それらがもたらすメリットを上回る場合があります。
ログ保持のベストプラクティスとは何ですか?
への鍵 より良いセキュリティ ログの保持は、ベストプラクティスに従い、初日からプロアクティブな戦略を実装することです。 あなたの会社のセキュリティに関しては、あなたは常に積極的であり続けたいと思っています。 何かが起こってシステムが整っていない場合、前進するための努力は少なすぎたり遅すぎたりする可能性があります。
大規模なIT環境を編成する場合、ログ管理は困難な場合があります。これは、ベストプラクティスに従う理由です。 重要なログを正常に維持することは、優れたセキュリティ体制だけではありません。次の手順を実行すると、何かが発生した場合の安心と継続的なビジネス運用が向上します。 貴重な洞察を得ながら、ITインフラストラクチャ全体を保護する必要があります。
データを一元的にアーカイブする
何かが起こった場合、セキュリティログは調査する必要のある証拠として機能します。 これらのログがないと、分析を実行できません。 ログを一元的にアーカイブして、ログの整合性とコンプライアンスを確保することをお勧めします。
これらのログをアーカイブするときは、暗号化してタイムスタンプを付ける必要があります。 ハッシュなどの他の手法も最適です セキュリティを強化する。 また、ログを監視し、問題を特定してアラートを送信するためのツールを実装する必要があります。
もっと読む ログアラートとログ分析の力.
セキュリティログサイズを最大化
組織の要件に応じて、最大セキュリティログサイズを設定する必要があります。 このように、ネットワークにデータを追加することで効率的に拡張できます。 スペースが不足しているためにデータを失うことは、特にコンプライアンスを維持していると思われる場合に、最後に必要なことです。
ログ保持ポリシーを作成する
セキュリティログは、アプリケーションログデータと比較して長期間保持する必要があります。 違反や攻撃が発生した場合は、ログが証拠になります。 ただし、ログを永久に保持することは有益ではありません。これは、前述のように、ログ保持ポリシーが機能する場所です。 ログ保持ポリシーを作成すると、チームが従うべき重要なガイドラインが設定されます。
ポリシーを作成するときは、ログのセキュリティとログの保持の両方に重点を置いてください。 たとえば、APIのクライアントのデータまたは内部アクセスキーを保存していますか? これらの例は、暗号化するデータのタイプです。
ログ保持のガイドラインは重要ですが、ログの監視も重要です。 アラートを実装し、ログの監視を自動化してセキュリティを向上させます。 これは、このプロセスを簡素化するツールまたはプラットフォームを活用することで実現できます。ログ分析の価値を過小評価しないでください。 AIと機械学習機能を提供するツールは、ログをふるいにかけてベースラインを決定し、異常を検出します。
ロギングプロセスを過度に複雑にしないでください
ログに記録するイベントが多すぎると、最も重要なログを見つけるのが難しくなる可能性があります。 最も重要なイベントをログに記録する、重要な情報が失われたり見落とされたりしないようにします。 これらのイベントには、アカウントのロックアウト、ログインの失敗、ファイルへのアクセスが含まれます。 繰り返しになりますが、この手順を実行することで、ネットワークセキュリティと最適な規制コンプライアンスが確保されます。 また、より正確なタイムスタンプを得るために、すべてのシステムクロックが同期されていることを確認してください。
ロギングプロセスが過度に複雑にならないようにするための最良の方法は、このステップをシームレスにするプラットフォームに投資することです。 また、プロセスに関与する人間が多いほど、エラーが発生する可能性が高くなります。 統合されたプラットフォームにより、より高度な自動化を利用できるようになります。 テクノロジーエコシステム全体の問題を調査するために必要なすべての情報に簡単にアクセスできる場合、これによりプロセスが大幅にスピードアップします。