"ログがある"と"ログを出せる"は別問題

上場審査では、重要システムの操作証跡(誰が・いつ・何を・どの端末から)を監査法人に即座に提示できる体制が求められます。システムにログ機能があっても、分散していて集約できない、90日で消える、改ざん耐性がない──こうした状態では指摘必至です。

本記事では、上場準備のログ管理・監査証跡保持を実装する手順を解説します。

収集すべきログの種別

分類具体例保存期間目安
認証ログEntra ID/AD/SaaSサインイン、MFA結果、失敗試行1〜5年
特権操作ログ管理者操作、sudo、DBA操作、クラウド管理5〜7年
業務システムログ会計・販売システムの操作、承認、データ変更7年(会計)
アクセスログWebアプリ、API、ファイルサーバー1〜3年
変更管理ログコードコミット、CI/CDパイプライン、本番反映5年以上
セキュリティログEDR、Firewall、WAF、DLP1〜3年
監査ログ棚卸し、ポリシー適用結果、内部統制テスト5年以上

ログ基盤のアーキテクチャ

中小企業向けの現実的な構成は以下のとおり。

  • 収集:各システムのログをSyslog/API/エージェント経由でSIEM/ログ基盤へ
  • 正規化:共通フォーマット(JSON等)へ変換
  • 保存:ホット(90日〜180日、検索性重視)+コールド(長期保管、低コスト)
  • 検知:ルール/機械学習による異常検知
  • 可視化:ダッシュボード、月次レポート
  • 通報:Teams/Slack、メール、オンコール

主要ログ基盤の選定ポイント

製品特徴適合規模
Microsoft SentinelM365/Azureとの親和性高、従量課金M365利用中小〜中堅
Splunk Enterprise/Cloud業界標準、柔軟なクエリ、価格高中堅〜大企業
Datadogクラウドネイティブ、APM統合DevOps志向
Elastic StackOSS含む柔軟構成技術リソースのある組織
SumoLogicクラウドSaaS型中堅

保存期間の設計

法令・業界要件に応じた最低保存期間:

  • 会計ログ:7年(法人税法)
  • J-SOX関連ログ:5年(金商法)
  • 個人情報アクセスログ:業種により3〜5年
  • PCI DSS(カード会社取引):1年(オンライン)+1年(アーカイブ)
  • 労働時間管理:5年(労基法)
💡 コスト最適化

ホット180日+コールド7年のティアリングが一般的。AWS S3 GlacierやAzure Archive Storageを活用すれば7年保管でも年額が現実的レンジに収まります。

改ざん防止の実装

  • WORM(Write Once Read Many)ストレージ:1度書き込んだら変更不可
  • ハッシュチェーン:各ログエントリに前ログのハッシュを連結
  • デジタル署名:収集時点でのタイムスタンプ+署名
  • アクセス制限:ログ基盤への書込権限を限定、削除権限は別人
  • オフサイトバックアップ:クラウド別リージョン/別アカウント

異常検知の実装

  • 多数回のログイン失敗:ブルートフォース候補
  • 深夜・休日の管理者操作
  • 退職者IDの使用試行
  • 大量データダウンロード:情報持出し候補
  • 本番環境への直接編集
  • 海外IPからのアクセス(VPN経由外)
  • SaaS管理者権限の自己昇格

監査対応で求められる証跡の出し方

  • サンプリング対応:監査法人指定のID/期間のログを数時間以内に抽出
  • CSV/PDF出力:可読形式で提出
  • 時刻同期:NTPでシステム時刻を揃えておく
  • ログ解析レポート:統制テスト結果のサマリ資料
  • 削除・改ざんが起きていない証明

導入ロードマップ(6ヶ月)

  • Month 1:対象ログ棚卸し、保存要件整理
  • Month 2:SIEMツール選定、設計
  • Month 3〜4:優先システム(認証、業務)の収集開始
  • Month 5:異常検知ルール、ダッシュボード整備
  • Month 6:監査法人レビュー、ログ提示テスト

BTNコンサルティングの支援

BTNでは、ログ管理設計、SIEM導入、保存要件整理、監査対応伴走まで支援します。「Security365」で日常の監視・運用代行も提供可能です。

上場準備・グロース企業向けの包括支援はエンタープライズ向けサービスをご覧ください。

→ 情シス365 Enterprise(上場準備・エンタープライズ向け情シス支援)

まとめ

ログ管理は「溜めるだけ」では価値がありません。集約・保全・検索・検知・出力の5機能を備えることで、上場審査と内部不正対策の両方に対応できる基盤が完成します。