JIS Q 27001:2014の管理策について－31

今回は、「12.4　ログ取得及び監視」です。

12.4 ログ取得及び監視
目的：イベントを記録し、証拠を作成するため。

12.4.1 利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューする。

システムの故障やセキュリティ事故に対応するため、イベントログを取得、保持、定期的なレビューを実施します。
ログには次のような項目を含めます。

• 利用者ID
• システムの動作
• 日時、内容
• アクセスの成功／失敗
• 特権利用
• アクセス先アクセス元

WindowsのPCでは、イベントビューアでPCのイベントログを表示することができます。PCの故障やセキュリティ事故への対応がある程度可能ですが、悪意をもったプログラム等ではイベントログを消してしまうものもあります。

12.4.2 ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護する。

ログ機能・情報は改ざんや認可されていないアクセスから保護する必要があります。
悪意をもったプログラム等は、ログ機能を破壊したり、ログの内容を改ざんすることで、情報を搾取した証拠を消し去ります。
ログの保存場所のアクセス権や、保存媒体に対する対策が必要となります。

12.4.3 システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューする。

特権を与えられたシステムの実務管理者や運用担当者は、システムのログだけでなく作業記録等を記録し、定期的にレビューする必要があります。
責任追跡性を確保するためには、作業の記録、ログの保護、記録のレビューを確実に実施する必要があります。

12.4.4 組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックは、単一の参照時刻源と同期させる。

ログの正当性を確保するため、全ての情報処理システムの時刻を合わせるため、次の対策が必要です。

• 時刻の表示、同期及び正確さに関する外部及び内部の要求事項の文書化
• 組織内で用いるための基準となる時刻源の定め
• 基準となる時刻源を外部から取得するための組織の取組み及び内部のクロックを確実に同期させる方法の文書化と実施

次回は「12.5　運用ソフトウェアの管理」の予定です。