SP 800-92とは
NIST SP 800-92「Guide to Computer Security Log Management」(2006年公開)は、セキュリティログの生成・収集・保管・分析のプロセスを体系化したガイドラインです。インシデントの検知・調査、コンプライアンス対応、フォレンジックにおいて、ログは最も重要な証拠です。
ログの種類
| カテゴリ | ログの例 | 収集元 |
|---|---|---|
| OS ログ | ログイン成功/失敗、プロセス起動/停止、ファイルアクセス | Windows イベントログ、syslog |
| アプリケーションログ | Webアクセスログ、DB操作ログ、メール送受信ログ | IIS/Apache、SQL Server、Exchange |
| ネットワークログ | ファイアウォールログ、IDS/IPSアラート、VPN接続ログ | UTM、ルーター、スイッチ |
| セキュリティログ | EDRアラート、DLP違反、MFA認証結果 | EDR、DLP、IdP |
| クラウドログ | Microsoft Purview 監査ログ、AWS CloudTrail、Azure Activity Log | SaaS管理画面、クラウドプロバイダー |
ログ管理インフラ
SP 800-92は、分散したログを集中管理するインフラの構築を推奨しています。
- ログ収集:各サーバー・機器からログを集中収集サーバーに転送(syslog、エージェント方式)
- 正規化:異なるフォーマットのログを統一フォーマットに変換
- 相関分析:複数のログソースを横断的に分析し、単独では見つからない異常を検出
- アラート:事前定義したルールに合致するイベント(不正アクセス試行等)をリアルタイム通知
現代ではこれらの機能をSIEM(Security Information and Event Management)が統合的に提供しています。Microsoft Sentinel、Splunk、Elastic Security、Datadog等が代表的な製品です。
ログの保管
| ログ種別 | 推奨保管期間 | 根拠 |
|---|---|---|
| 認証ログ(ログイン/ログアウト) | 1年以上 | 不正アクセスの事後調査に必要 |
| ファイアウォール/IDS ログ | 90日〜1年 | ネットワーク攻撃の痕跡分析 |
| アプリケーションログ | 90日〜1年 | 業務アプリの監査証跡 |
| 監査ログ(Microsoft Purview) | 既定180日(E5は1年) | クラウド環境の操作履歴 |
ログ分析
- 異常検知:通常と異なるログイン時間・場所・パターンを検出
- しきい値ベース:短時間での大量ログイン失敗等をアラート
- 相関ルール:複数ログの組み合わせで攻撃を検出(例:VPN接続 → 大量ファイルダウンロード)
- ベースライン比較:正常時の行動パターンとの乖離を検出(UEBA)
まとめ
SP 800-92はセキュリティログの「収集→正規化→分析→保管」のプロセスを体系化したガイドです。中小企業はまず監査ログとUTMログの有効化・保管から始め、SIEMの導入は段階的に検討しましょう。