インシデント調査に必要なログの保存期間は？低コストな保管方法も紹介

サイバー攻撃の手口が高度化・巧妙化するなか、インシデント発生時のフォレンジック調査に欠かせないのがセキュリティログの長期保存です。しかし「法的に何年保存すればいいのか分からない」「保存コストが膨らんで維持しきれない」と頭を悩ませる情シス・セキュリティ担当者の方は少なくありません。

本記事では、主要な法令・ガイドラインが求めるログ保存期間の基準を整理したうえで、コストを抑えながら長期保存を実現する具体的な方法を解説します。

インシデント調査におけるログ保存の重要性

サイバー攻撃やマルウェア感染などのセキュリティインシデントが発生した場合、被害の全容を把握するためにはフォレンジック調査が不可欠です。この調査で中心的な役割を果たすのが、ファイアウォールやIDS/IPS、認証サーバ、エンドポイントなどから収集されるセキュリティログです。

ログは攻撃者の侵入経路を追跡し、影響範囲を特定するための唯一の手がかりとなります。また、インシデント後の証拠保全としても機能し、監督官庁への報告や法的対応において客観的な根拠を提示するために欠かせません。さらに、原因を正確に特定することで実効性のある再発防止策の策定が可能です。

経済産業省の「サイバーセキュリティ経営ガイドライン Ver 3.0」でも、被害原因の特定と解析を速やかに実施するために「速やかな各種ログの保全」を含む対応体制の構築が提唱されています。

参照：サイバーセキュリティ経営ガイドライン Ver 3.0

知っておくべきログ保存期間の基準

セキュリティログの保存期間は、業界や準拠すべき規制によって異なります。ここでは、情シス担当者が押さえておくべき主要な基準を整理します。

PCI DSS ― 監査証跡は最低1年間保存

クレジットカード業界のグローバルセキュリティ基準であるPCI DSS（Payment Card Industry データセキュリティ基準）では、ログ保存に関する要件が明確に定められています。2022年3月に公開された「要件とテスト手順 v4.0」によると、監査ログの履歴は少なくとも12か月間保持し、そのうち直近3か月分はすぐに分析できる状態にしておくことが必要です。

カード会員データを取り扱う企業はもちろん、PCI データセキュリティ基準を自社のセキュリティ基準として採用している企業にとっても、この「1年間保存・3か月即時アクセス」は具体的な目安になります。

参照：Payment Card Industry データセキュリティ基準 要件とテスト手順 v4.0

サイバーセキュリティ経営ガイドライン

経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン Ver 3.0」には、具体的な保存年数は明記されていません。しかし「重要10項目」のなかで、インシデント発生時に備えて速やかなログの保全と証拠確保ができる体制の構築が経営者に求められています。

同ガイドラインの趣旨を踏まえると、自社のリスク評価に基づいて十分な期間のログを保持し、いつでもフォレンジック調査に着手できる状態を維持することが重要です。

その他の基準（不正アクセス禁止法・内部統制関連など）

不正アクセス禁止法の公訴時効は3年とされており、少なくとも3年分のログを保存しておくことが望ましいと考えられています。また金融商品取引法の開示制度では、有価証券報告書など提出書類の公衆縦覧期間が5年、刑法上の電子計算機損壊等業務妨害罪の公訴時効も5年と定められています。民法上の不当利得返還請求権の期限（消滅時効）は5年もしくは10年間です。

このように、適用される法令や業界ごとに求められる保存期間が異なるため、自社が準拠すべき基準を棚卸しして、最も長い期間に合わせて保存方針を定めることが現実的な対応と言えるでしょう。

セキュリティログの長期保存が抱える課題

SIEMやログ管理システムが収集するデータ量は日々増大し続けます。加えて、ファイアウォール、プロキシ、認証基盤、エンドポイントなど取得元が増えるほど、保管すべきデータは加速度的に膨らみます。その結果、「ストレージコストが高すぎて1年分の保管すら維持できない。しかし、削除すればインシデント発生時に調査ができなくなる」というジレンマに陥る担当者は少なくありません。

このニーズにオンプレミスの物理ストレージで対応しようとすると、ハードウェアの調達・設置スペース・運用管理の人的コストが重くのしかかります。一方で、一見安価に見える大手クラウドのアーカイブ層に移行する場合も、隠れたコストに注意が必要です。

物理ストレージ（テープ・NAS）の限界

テープやNASによるオンプレミス保管は、初期のハードウェア購入費に加え、設置スペースの確保、温度・湿度管理、定期的なメディア交換など、継続的な運用コストが発生します。また、拠点が限られるため災害時のデータ喪失リスクも無視できません。いざインシデントが発生してテープからログを復元する場合も、媒体管理や搬送、復元手順によっては復元に相応の時間を要するため、フォレンジック調査の初動が遅れる原因となります。

ハイパースケーラーのアーカイブ層の落とし穴

AWS S3 GlacierやAzure Archive Storageなど大手クラウドのアーカイブ層は、保管時のGB単価だけを見ると非常に安価に映ります。しかし、実際の運用では見落としがちなコスト要素が複数存在します。

まず、データの取り出し（エグレス）には転送量に応じた料金が必要です。インシデント調査では大量のログを一度に取り出す必要があるため、この費用は無視できません。次に、アーカイブ層からのデータ復元には数分～数時間（場合により十数時間）のリトリーブ時間がかかります。一刻を争うフォレンジック調査において、この待ち時間は致命的です。

APIリクエストごとの課金やストレージクラス間の移行料金なども料金体系が複雑で、正確な総コスト（TCO）を見積もることは容易ではありません。

Wasabiで実現する低コスト・即時アクセスのログ長期保存

こうした課題を解消するアプローチとして有効なのが、Wasabi Hot Cloud Storageです。Wasabiは、S3互換APIを備えたホットクラウドストレージであり、低価格と即時アクセスの両立を特長としています。

Wasabiが長期ログ保存に強い3つの理由

セキュリティログの保存先としてWasabiが優れている理由は、以下の3つです。

１.低コストで予測しやすい料金体系

Wasabiの料金はストレージ容量に対してのみ発生し、データのダウンロード（エグレス）やAPIリクエストに対する追加課金がありません。保存するログの量が増えても、料金の見通しが立てやすく、予算管理が容易です。

２.ホットストレージで即時アクセス

Wasabiにはアーカイブ層のような階層分けがなく、保存されたデータはすべてホットストレージとして即座にアクセスできます。インシデント発生時にリトリーブ待ちが不要なため、フォレンジック調査を速やかに開始できます。

３.S3互換APIで導入がスムーズ

WasabiはAWS S3と互換性のあるAPIを備えているため、S3向けに構築された既存のツールやスクリプトをそのまま利用できます。新たなツールの導入や運用フローの大幅な変更なしに移行でき、学習コストを抑えられます。

ハイパースケーラーからWasabiへ移行・併用する際のステップ

すでにAWSやAzureを利用している環境では、Wasabiへの移行や併用を段階的に進めていく必要があります。以下の4ステップで導入の流れを整理します。

ステップ1：保存要件の整理

まず、自社で収集しているログの種別ごとに、必要な保存期間・アクセス頻度・データ容量を棚卸しします。直近のログはSIEMや既存クラウド上で即時分析できる状態に維持し、一定期間を過ぎたログをWasabiへ移す判断基準を策定します。PCI DSSの「直近3か月は即時アクセス可能」といった要件も、この段階で考慮しておくとよいでしょう。

ステップ2：移行方式の選定

WasabiはS3互換APIを提供しているため、rcloneやAWS CLIなどの既存ツールを使ってデータを転送できます。大量のログを一括移行する場合は、バッチ処理のスケジュールを組むことで業務時間への影響を最小限に抑えられます。また、既存のクラウド環境を完全に置き換えるのではなく、「ホットデータ（直近ログ）は既存クラウド、コールドデータ（長期保存ログ）はWasabi」というティアリング（階層化）による併用も有効です。

ステップ3：ライフサイクルポリシーの設定

SIEMや既存クラウド側でログの保存期間に応じた自動アーカイブルールを設定し、一定期間が経過したログをWasabiへ自動転送する運用フローを構築します。手動作業を排除することで保存漏れを防止し、運用負荷を軽減できます。

ステップ4：アクセス・復元テストの実施

移行が完了したら、実際にフォレンジック調査を想定したログの検索・取り出しテストを実施します。Wasabiはホットストレージのため即時アクセスが可能ですが、転送経路やツールの設定を含めた総合的な検証を行い、インシデント対応の初動に問題がないことを確認しておくことが重要です。

まとめ

セキュリティログの長期保存は、インシデント発生時のフォレンジック調査を可能にするために欠かせない取り組みです。PCI DSSの「最低1年間保存」をはじめ、サイバーセキュリティ経営ガイドラインや各種法令が示す基準を踏まえ、まずは自社に必要な保存期間を明確にしましょう。そのうえで、コストとアクセス性を両立できる保管先としてWasabiを活用すれば、「高すぎて維持できないが、捨てられない」というログ保管のジレンマを解消できます。ログの長期保存にお悩みの方は、ぜひWasabiの導入をご検討ください。