sg sg-security-management incident_management it_security_operations
まず結論
監査ログは、誰が・いつ・何をしたかを記録し、不正や事故の追跡に使う記録です。
SG試験では「問題発生時に原因を特定できるか」を判断させる問題で問われます。
直感的な説明
「防犯カメラの記録」です。
- 何か起きたとき
→ 映像を見れば誰が何をしたか分かる
👉
あとから確認できるように記録しておく仕組みです。
定義・仕組み
監査ログは、システムの操作やイベントを記録したデータです。
記録内容の例:
- ユーザID
- 操作内容(ログイン・変更など)
- 日時
- 操作対象
目的
- 不正行為の検知
- インシデント発生時の原因追跡
- 内部統制・監査対応
👉
「後から追える状態を作る」ことが本質
どんな場面で使う?
使う場面
- 不正アクセスの調査
- 操作ミスの原因特定
- 特権IDの利用監視
👉 現場では
「何かあったときに証拠として使う」
使うと誤解しやすい場面
- ログを取っているだけでOK
→ 実際は「監視・分析」も必要
よくある誤解・混同
SG試験でよく狙われます。
❌ ログは記録すれば十分
→ ⭕
定期的な確認・分析が必要
❌ ログは自由に削除してよい
→ ⭕
改ざん防止・保護が必要
❌ 誰が操作したか分からなくてもよい
→ ⭕
個人単位で特定できることが重要
❌ 特権IDの操作はログ不要
→ ⭕
むしろ最重要で記録すべき対象
👉 SG試験では
「追跡できない状態 → NG」
と判断できるかが重要です。
確認問題(SG試験対策)
次のうち、最も適切なものはどれか。
A. 監査ログの主目的は、攻撃通信をリアルタイムで遮断することである。
B. 監査ログは、誰がいつ何をしたかを後から追跡・検証するための証跡として利用する。
C. 監査ログは、通信内容を暗号化して盗聴を防ぐための仕組みである。
D. 監査ログを取得していれば、アクセス権管理は不要になる。
答えと解説を見る
正解:B
解説
- A:誤り。リアルタイム遮断はIPSなどの役割で、監査ログの主目的は証跡確保です。
- B:正しい。監査ログは、操作履歴の記録・追跡・説明責任のために使われます。
- C:誤り。通信暗号化はTLS等の役割であり、監査ログの機能ではありません。
- D:誤り。ログは事後確認に有効ですが、予防的なアクセス権管理は別途必要です。
👉 判断ポイント
「防ぐ仕組み」ではなく「後から追える証跡」かどうかで判断する。
まとめ(試験直前用)
- 監査ログは操作履歴の記録
- 不正検知・原因追跡に使う
- 記録だけでなく分析も重要
- 改ざん防止・保護が必要
👉 判断基準
ログなし → NG
ログあり+分析 → OK
特権操作は必ず記録
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】
- アクセス制御(認可)とは?認証との違いを整理【SG試験】