ログ管理とは？証跡と異常検知の役割を整理【SG試験】

まず結論

ログ管理とは、システムの操作や通信の記録（ログ）を保存・監視し、証跡として活用する仕組みです。
SG試験では「不正の証拠として使えるか」「異常に気づけるか」を判断させる問題が多いです。

このページで切り分けること（先にここだけ）

このページは、ログ管理の役割（取る・守る・見る）を中心に整理します。

ログ管理：証跡を残し、監視・分析して異常を見つける
SIEM：複数ログを集約・相関分析して検知を強化する
アクセス制御：そもそも不正な操作を通さないようにする

迷ったら、「防ぐ対策か、見つける対策か」を見ます。

SG試験で選択肢を切る判断軸（ログ管理編）

「証跡」「追跡可能性」「監査対応」が出る
→ ログ管理の話
「ログは保存しているが分析していない」と書かれている
→ 不十分。取るだけでなく見るまで必要
「ログがあるから不正は防げる」と書かれている
→ 誤り。ログ管理の主目的は検知・証明

直感的な説明

ログは「誰が・いつ・何をしたか」を残す記録です。

たとえば👇

深夜に大量のデータがダウンロードされた
管理者アカウントで設定変更が行われた

👉 ログがあれば
「何が起きたか」を後から確認できます。

👉 イメージ
監視カメラ

記録される → 抑止になる
映像が残る → 後から証明できる

👉 ただし重要👇
カメラだけでは犯罪は防げない

定義・仕組み

ログ管理は、システムやネットワークの操作履歴を
収集・保存・監視・分析する仕組みです。

■ 主なログの例

アクセスログ（誰がアクセスしたか）
操作ログ（何を操作したか）
エラーログ（異常の記録）

■ ログ管理の3つの役割（最重要）

① 記録する（取得）
② 守る（改ざん防止・保存）
③ 見る（監視・分析）

👉 この3つが揃って初めて意味がある

■ ログ管理の目的

証跡の確保（フォレンジック）
異常の検知（インシデント対応）
抑止効果（内部不正対策）

■ 内部不正との関係

ログ管理は、不正のトライアングルのうち👇

👉 「機会」と「正当化」を弱める

機会 → 発覚しやすくなる
正当化 → 「バレない」を防ぐ

👉 ただし重要👇
ログは「防ぐ」対策ではなく「見つける」対策

どんな場面で使う？

✔ 使う場面

不正アクセスの調査
内部不正の追跡
監査対応（証跡提示）
インシデント対応の原因分析

✔ フォレンジックとの関係（重要）

ログは👇

👉 証拠として使われる

改ざんされていないこと
保存されていること

が重要になります。

👉
ログがないと証明できない

✔ 注意が必要な場面

ログを取るだけで放置
保存期間が短い
改ざん可能な状態で保存

👉 これらはすべてNG

よくある誤解・混同

❌ 誤解①：ログ管理＝不正防止

→ ⭕ 不正の「検知・証明」が目的

❌ 誤解②：ログは保存していればOK

→ ⭕ 監視・分析が必要

❌ 誤解③：インシデント後に取得すればよい

→ ⭕ 事前に取得していないと意味がない

❌ 誤解④：アクセス管理と同じ

→ ⭕

アクセス管理 → 事前に防ぐ
ログ管理 → 事後に検知・証明

🔥 SG試験のひっかけ

「ログがあるので不正は防げる」→ ❌
「ログを分析していない」→ ❌
「ログを証跡として保全している」→ ⭕

👉 判断基準👇
証拠として使えるかどうか

SG試験で選択肢を切る判断軸（内部不正ログ管理編）

「ログを定期的に確認し、異常利用者へ追加確認する」と書かれている
→ 適切。早期発見と事後対策の両面で有効です。
「コストにかかわらず永久保存」と書かれている
→ 不適切。保存期間はリスクとコストのバランスで設計します。
「利用者にログの管理権限を与える」と書かれている
→ 不適切。改ざん・削除防止のため、確認権限は限定された管理者側で統制します。
「ログ保存期間を内部者へ積極周知する」と書かれている
→ 不適切になりやすい。抑止観点では保存事実の周知は有効でも、詳細期間の開示は慎重に扱います。

迷ったら、「定期確認で発見力を上げる施策か」「改ざん防止と権限分離を崩していないか」で切り分けます。

まとめ（試験直前用）

ログ管理＝操作履歴の記録・監視・保存
目的は「証跡」と「異常検知」
防止ではなく「検知・証明」
「取る＋守る＋見る」が重要
フォレンジックと直結する
「証拠として使えるか」で判断する

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る