1. ログとは
ログは、システムの稼働状況や操作履歴を記録したデータです。システム上で操作やイベントが発生すると、その記録がログとして残ります。ログの内容はシステムによって異なりますが、「いつ・誰が・何を・どこで・どうした」を含むことが多いです。
たとえば、上記はWindowsイベントログ(イベントID 4624:ログオン成功)を抜粋したものです。ログオン日時・アカウント名・対象コンピューターなどが記録されています。こうした記録を確認することで「退職者のアカウントが使われていた」や「営業時間外に不審なログオンがあった」といった事実が見えてきます。
出力後に放置されたログは、いざというときに使えません。実際にランサムウェア被害にあった組織の79%がログを使えない状態※でした。
その原因として、犯人による削除・ログの暗号化・期間経過による破棄などが挙げられます。社内システムに侵入した脅威は、攻撃の痕跡を消すため、ログの改ざん・削除を試みます。また、ディスク容量の関係で、定期的に古いログを破棄するシステムも少なくありません。ログは放置すると失われるため、適切に管理する必要があります。
※出典:令和7年上半期における サイバー空間をめぐる脅威の情勢等について
いざというとき、ログが使えるかで明暗が分かれる
| ログが使えない場合 | ログが使える場合 |
|---|---|
| 異常を見逃し、被害が広がってから気づく | 異常にいち早く気づき、先手を打てる |
| 何が起きたか追えない | 何が起きたか追える |
| 求められた証跡を提示できない | 客観的な証跡として提示できる |
| 適切に運用していたことを証明できない | 正当性を客観的に証明できる |
Q
ログにはどんな種類がありますか?
ログにはどんな種類がありますか?
ログは出力元によってさまざまな種類があります。代表的なものは次のとおりです。
詳しくは、以下の記事をご確認ください。
2. ログ管理とは
ログ管理は、ログを収集・保管・活用する一連のプロセスです。
- 収集:各システムから出力されたログを集める
- 保管:集めたログを整形し、一定期間保持する
- 活用:ログを監視・分析・調査・報告などに使う
ここからは、ログ管理の進め方についてご紹介します。
STEP1. 目的を決める
まず、何のためにログを管理するか決めます。目的によって集めるべきログ・保管期間・活用方法が変わります。代表的な目的として、セキュリティ対策・コンプライアンス対応・システム運用が挙げられます。それぞれの詳細は、以下をご確認ください。
システム運用
障害の原因調査やシステムの稼働状況の把握など、安定したシステム運用を実現するためにログを活用します。
STEP2. ログを集める
STEP1で決めた目的に応じて、必要なログを収集します。代表的な方法は次の4つです。
- 管理画面から取得:各システムの管理画面から、手動でログをコピー・ダウンロードする
- エージェント方式:サーバやPCに専用ソフトを入れ、ログを自動で転送する
- Syslog転送:Syslog(プロトコル)を使い、システム側から自動でログを転送する
- API連携:クラウドサービスのログを、APIを通じて取得する
どの収集方法が適切かは、ログの出力元や社内IT環境によって異なります。また、収集対象が増えるほど手動では限界があるため、自動で集める仕組みを整えておくことが大切です。
Q
どのログを集めればいいですか?
どのログを集めればいいですか?
目的(STEP1)と「守るべき重要な資産」から優先度をつけるのが基本です。まず押さえたいのは、次のログです。
目的によって優先するログは変わり、対象が広がるほど数も増えます。まずは重要度の高いシステムから始め、段階的に広げていくとよいでしょう。
Q
Syslogとは何ですか?
Syslogとは何ですか?
Syslogは、サーバーやネットワーク機器などがログメッセージを送受信するための標準的なプロトコル(仕組み)です。ルーターやファイアウォールをはじめ多くの機器が標準で対応しており、各機器のログをネットワーク経由で一か所に集約・転送する用途で広く使われています。
詳しくは、以下の記事をご確認ください。
STEP3. ログを保管する
集めたログを、ルールに沿って保管します。保管には次の要素があります。
- 期間:一定期間、ログを保持する(例:3年間)
- 保全:暗号化やアクセス制限で、改ざん・削除を防ぐ
- 整形:分析しやすい形式に変換する
これらが欠けると、インシデント調査や監査対応でログを使えなくなる恐れがあります。
Q
ログはどのくらいの期間、保管すればいいですか?
ログはどのくらいの期間、保管すればいいですか?
ログの保管期間は目的(STEP1)や業種、対象となるログによって変わります。
STEP4. ログを活用する
ログの主な使い方は次の4つです。
- 監視:不審な挙動や異常を検知する
- 分析:傾向や利用パターンを把握する
- 調査:原因や影響範囲を特定する
- 報告:監査や経営層向けのレポートにまとめる
目的によって、ログをどのように使うかが異なります。
Q
活用しやすいのは、どんなログですか?
活用しやすいのは、どんなログですか?
活用しやすいログは、次の条件がそろっているものです。
詳しくは、以下の記事をご確認ください。
Q
ログをどう見ればいいですか?
ログをどう見ればいいですか?
ポイントは「基準と比較する」ことです。ふだんの状態(基準)を把握していれば、「いつもより多い」「いつもと違う場所から」といった変化に気づけます。異常は、基準とのギャップとして現れます。
詳しくは、以下の記事をご確認ください。
3. ログ管理をサポートするツール
ログ管理ツールとは
ログ管理ツールとは、ログの収集・保管・活用を支援するシステムの総称です。対応範囲や得意分野はツールによってさまざまで、サーバーログやSyslog、PC操作ログなど特定の領域に絞ったものから、複数のログを横断的に管理・分析するものまで幅広く存在します。
ログ管理ツールの必要性
ログ管理を進める際には、以下のような課題が生じます。
- 収集が大変:ログは各システムに分散していて、集めるだけで手間がかかる
- ログが消失する:攻撃者による削除や、保存期間の経過などでログが失われる
- 分析が難しい:ログは読みにくく形式もバラバラで、分析には正規化が必要になる
こうした課題を人力だけで解決し続けるのは簡単ではありません。手作業が多いほど工数はかさみ、特定の担当者に作業が偏って属人化します。さらに、ログを正しく扱うには専門的な知識も欠かせません。その結果、ログ管理を続けること自体が難しくなります。
これらの負担を減らし、運用を無理なく続けるために、ログ管理ツールを活用するのが一般的です。
ログ管理ツールの種類
サーバーログ管理ツール
サーバーが出力するログを管理するツールです。OS・認証・ファイルアクセスなどのログを集約・保管し、「いつ・誰が・何をしたか」を確認・追跡できます。
Syslogサーバー
Syslog形式のログを受信・保管するサーバーです。多くの機器がSyslogに標準対応しているため、複数機器のログを低コストで一か所に集約できます。
PC資産管理ツール
社内PCの資産管理と操作ログ取得を兼ねるツールです。ファイル操作や外部デバイスの利用を記録でき、従業員の操作の可視化や情報漏洩対策に活用できます。
統合ログ管理システム
幅広いシステムのログを一か所に集約し、統合管理するシステムです。サーバー・ネットワーク機器・クラウドなどのログを横断的に収集し、保管から検索・分析まで一貫して行えます。
SIEM
ログをセキュリティの観点から相関分析するシステムです。複数のログを突き合わせて不審な兆候を検出し、脅威の早期発見や調査に活用できます。詳細はこちら
現場では、目的や予算に応じて複数のツールを組み合わせて使うケースがあります。たとえば、SyslogサーバーやPC資産管理ツールで集めたログを統合ログ管理システムに集約するケースや、統合ログ管理システムから分析に必要なログのみをSIEMへ転送するケースなどが挙げられます。
4.お役立ち資料「ログ管理入門」ダウンロード
