02月 07日, 2025

6 分程度

監査ログ：完全ガイド

Muhammad Raza

監査ログ(監査証跡)により、「誰が、どこで、いつ、何を行ったか」というシンプルな問いの答えが見つかります。

そこでこの記事では、「監査ログをどのように使用できるのか、また、どのようなユースケースで特に効果を発揮するのか」というシンプルな問いについて考えていきます。

監査ログとは

テクノロジーサービスや製品を使用すると、すべてのユーザーアクションやシステム応答に対して監査ログが生成されます。これらのログには、以下の目的で使用できる重要な情報が記録されます。

ユーザーを認証する。
リクエストを特定して検証する。
リクエストを適切なサービスノードに振り分ける。
関連するテクノロジーの運用や処理を行う。

監査ログと通常のシステムログの違い

監査ログにもシステムログにもイベントとアクションが記録されますが、目的が異なります。

監査ログには「誰が、どこで、いつ、何を行ったのか」が記録されます。主な用途は、コンプライアンス、セキュリティ、そしてコンピューターのフォレンジック調査です。監査ログでユーザーのアクションとシステムの変更を追跡することで、アカウンタビリティとトレーサビリティを確保できます。このログには、監査やコンプライアンスの検証に不可欠となるアクティビティが時系列で記録されます。

システムログには、主にシステムイベントや運用上のアクティビティ(エラー、パフォーマンスデータ、サービスのステータスなど)が記録されます。システムログは主にデバッグ、システム健全性の監視、パフォーマンスの最適化に利用されます。このログからシステムの動作状態や効率性に関するインサイトが得られます。

監査ログが重要な理由

監査ログに記録される細かなアクションも重要ですが、監査ログが果たす広範な目的にはさらに大きな価値があります。監査ログを収集する主な目的には次の2つがあります。

エラーを特定し、システムの精度を向上させる。
アクティビティの背後にある意図を把握し、今後のアカウンタビリティやコンプライアンス対応に役立てる。

システムで何かが実行されるたびに、ログやメトリクスデータ、メタデータが生成され、記録が蓄積されます。これらの記録は、セキュリティ、監視、パフォーマンス分析、サイバーフォレンジックなど、さまざまなユースケースで活用できます。

監査ログの閲覧に関する役割と制限

監査ログへのアクセスは、組織内でのユーザーの役割に基づいて制御されるのが一般的です。役割によってアクセスレベルや権限は異なり、それによってセキュリティやコンプライアンスが確保されます。一般的な役割と、それぞれに割り当てられるアクセスレベルには、次のようなものがあります。

システム管理者：通常、すべての監査ログにフルアクセスできます。システムの管理と維持を担当し、すべてのアクティビティが適切に記録および監視されていることを確認します。
セキュリティ責任者：セキュリティ関連のイベントやインシデントに関連する監査ログにアクセスできます。この情報を使って、不審なアクティビティを監視し、セキュリティ侵害を調査し、セキュリティポリシーへの準拠を確認します。
コンプライアンス責任者：組織が規制要件を遵守していることを確認します。コンプライアンスに関するレポート作成や監査に必要な監査ログにアクセスできます。
ITサポート担当者：技術的な問題のトラブルシューティングや解決に関連する監査ログに限りアクセスできる場合があります。機密情報の不正な閲覧を防ぐため、通常はアクセスが制限されています。
一般ユーザー：通常、一般ユーザーは監査ログにアクセスできません。一般ユーザーのアクションはログに記録されますが、自分たちがそのログを閲覧することはできません。

役割に基づく制限は、監査ログの完全性と機密性を維持する上で不可欠です。許可された担当者のみが機密性の高い監査情報にアクセスできるようにし、データを不正アクセスや改ざんから保護する必要があります。

監査ログに含まれる情報

監査ログには、以下の情報が含まれています。

タイムスタンプ、ロケーション情報、TCP/IPプロトコルデータ
イベントの説明とタグ
実行者、グループ、ユーザー、エンティティ、デバイスID
アクションの種類
事前定義されたメトリクス
データアクセス、ログイン試行、失敗、認証情報
エラーの詳細
アクション、アカウントの変更、システム全体の変更、情報の状態の変化
トランザクションの詳細

監査ログのユースケース：点をつなぐ

監査ログは、主に以下の4つの分野で応用できます。

セキュリティ
コンプライアンス
アカウンタビリティ
サイバーフォレンジック

ユースケース：セキュリティ

サイバーセキュリティの観点では、監査ログは異常な行動やネットワークトラフィックのパターンを特定するのに役立ちます。情報セキュリティチームは、監査ログの仕組みを監視とオブザーバビリティのソリューションに統合して、潜在的なセキュリティインシデントに関するインサイトを抽出できます。

事前定義されたセキュリティポリシーに照らしてネットワーク変更のアクションを検証(変更による差分を確認)することで、ネットワーク変更の認証や不正な変更の検出を行います。ポリシーでは、どのような場合にネットワークやITリソースへのアクセスが許可されるかについて、エンティティ、場所、役割、属性、およびアクションの頻度や実行場所の観点から定義します。

ユースケース：コンプライアンス

外部の規制への準拠が求められる場合、特定の監査ログを保持し、その監査ログをリアルタイムで分析してシステムのコンプライアンス状況を確認できる監視機能の導入が必要になることがあります。たとえば、次のような規制があります。

ISO 27001は、監査ログと監視に関する要件を定めています。
SOC1は、インシデントの検出、構成、管理、そしてイベントログの収集に関する要件を定めています。

(Splunkを利用して組織のコンプライアンス対応に取り組む方法をご覧ください。)

ユースケース：アカウンタビリティと認証

標準的な監査手順と同様に、監査ログはアカウンタビリティや事実情報の検証にもよく使用されます。主な用途には、次のようなものがあります。

組織ポリシーの適用
会計および財務
人事関連のポリシー

この場合、監査ログは、ユーザーの行動や、システムが記録した情報の正確性を分析する際の重要な要素になります。たとえば、監査ログによって、迅速にシステムを調べ、すべての部門について財務リソースの使用状況に関するインサイトを得ることができます。以下のような点をスムーズに把握できるようになります。

資金の承認と支出
支出が最も多いユーザーの特定
予算配分との比較

ユースケース：サイバーフォレンジック

サイバーフォレンジックも監査ログの重要な用途であり、イベントを再現したり、テクノロジープロセスに関する洞察を得たりするために使用されます。法廷で法的証拠として認められることもよくあります。

通常、企業はすべての活動に対してサイバーフォレンジックを実施するわけではなく、以下の2つの状況で必要になることが一般的です。

外部からの要請：裁判所の召喚状による調査要請
社内からの要請：経営幹部や技術チームからの要請(重大なサイバーインシデント、Webサイトやシステムの予期せぬ大規模なダウンタイムの場合など)

監査ログには一連のアクションが記録されており、アクションを実行したユーザーがわかります。調査担当者は監査ログを分析し、監査ログが示すさまざまなシナリオや結果について詳しい洞察を得ることができます。そのためには、生のログデータを徹底的に分析し、そこから有益な情報を引き出す必要があります。

監査ログのベストプラクティス

膨大な量のネットワークログ、ハードウェアログ、アプリケーションログが大規模に生成されている中、ITチームが監査証跡データに圧倒されがちなのも無理はありません。監査ログのメトリクスデータから適切なインサイトを得るには、以下のベストプラクティスの実践を検討してください。

すべてのデータ構造を大規模に保存する

あらゆる形式のデータを大規模に統合して保存できるデータプラットフォームを確立しましょう。データレイクなどのデータプラットフォームテクノロジーでは、リアルタイムのログデータストリームをキャプチャし、スキーマオンリードモデルで消費するのが一般的です。

サードパーティの分析ツールや監視ツールを統合することで、データ構造に関するツールの仕様に基づいて監査ログデータの最も関連性の高い部分のみを処理しながら、情報をリアルタイムで解析することができます。

事前定義されたしきい値ではなく統計モデルを使用する

事前定義された固定のしきい値を使用してデータを取得するのではなく、統計モデルを用いてシステムの動作を一般化します。ネットワークの動作は絶えず進化しますが、機械学習に基づくモデルなら継続的に学習して適応できます。

こうしたモデルは、監査ログの正確な分析に役立ち、異常な行動のしきい値が動的に変化する状況にも対応できます

CIAトライアドの原則に基づいてデータを保護する

監査ログデータは、高水準の機密性、完全性、可用性(CIAトライアドと呼ばれます)を備えた安全な環境に保存してください。監査ログの変更やネットワークシステムの設定ミスがあると、誤解を招く情報が生成され、ログ分析で誤った結論に至る可能性があります。

無限のデータストレージは持続可能ではない

リアルタイムのログデータストリームを大量に統合するデータストアは、指数関数的に拡大する可能性があります。監査ログ分析用のデータプラットフォームを設計する際は、セキュリティ要件やコンプライアンス要件に照らしてデータプラットフォームのコスト、セキュリティ、パフォーマンスを評価しましょう。

さらに、ログ使用に対するクォータや制限を設定することが、ストレージの効率的な管理には不可欠です。クォータを設定することで、ログ記録での過剰なリソース消費を防ぎ、システムパフォーマンスを維持できるようになります。ログの重要度と関連性に応じて制限を定義し、重要なデータのみが長期間保持されるようにしましょう。

(そして忘れないでください。このデータを永遠に保存する必要はありません。それは持続可能な方法ではないのです。)

このブログはこちらの英語ブログの翻訳です。

この記事について誤りがある場合やご提案がございましたら、ssg-blogs@splunk.comまでメールでお知らせください。

この記事は必ずしもSplunkの姿勢、戦略、見解を代弁するものではなく、いただいたご連絡に必ず返信をさせていただくものではございません。

Muhammad Raza

Muhammad Raza is a technology writer who specializes in cybersecurity, software development and machine learning and AI.

IT 6 分程度

Splunk ITSIアラートの設計 - ステップ3

Splunk IT Service Intelligence (ITSI)で、環境内の注視すべき問題を検出する相関ルールを作成します。

IT 3 分程度

トラブルシューティングをITサービスマネジメントのデータで加速する

IT運用において、ITサービスマネジメントツール（ServiceNowやRemedyなど）を導入し、IT運用プロセス管理を標準化している企業が増えています。そこで蓄えられるデータはトラブルシューティングにおいても非常に重要な役割を果たします。

IT 12 分程度

データベース監視：基礎と概要

データベース監視(データベースパフォーマンス監視)とは、リアルタイムでデータベースを監視することです。本記事では、データベース監視の仕組みと、パフォーマンスを最適化するために監視すべき最も重要なデータベースメトリクスの概要を説明します。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら