ログ管理は操作履歴を記録し証跡として活用する仕組みです。異常検知やフォレンジックとの関係を整理し、SG試験で問われる判断基準を解説します。

sg sg-security-management incident_management it_security_operations

まず結論

ログ管理とは、システムの操作や通信の記録(ログ)を保存・監視し、証跡として活用する仕組みです。
SG試験では「不正の証拠として使えるか」「異常に気づけるか」を判断させる問題が多いです。

直感的な説明

ログは「誰が・いつ・何をしたか」を残す記録です。

たとえば👇

  • 深夜に大量のデータがダウンロードされた
  • 管理者アカウントで設定変更が行われた

👉 ログがあれば
「何が起きたか」を後から確認できます。

👉 イメージ
監視カメラ

  • 記録される → 抑止になる
  • 映像が残る → 後から証明できる

👉 ただし重要👇
カメラだけでは犯罪は防げない

定義・仕組み

ログ管理は、システムやネットワークの操作履歴を
収集・保存・監視・分析する仕組みです。

■ 主なログの例

  • アクセスログ(誰がアクセスしたか)
  • 操作ログ(何を操作したか)
  • エラーログ(異常の記録)

■ ログ管理の3つの役割(最重要)

① 記録する(取得)
② 守る(改ざん防止・保存)
③ 見る(監視・分析)

👉 この3つが揃って初めて意味がある

■ ログ管理の目的

  • 証跡の確保(フォレンジック)
  • 異常の検知(インシデント対応)
  • 抑止効果(内部不正対策)

■ 内部不正との関係

ログ管理は、不正のトライアングルのうち👇

👉 「機会」と「正当化」を弱める

  • 機会 → 発覚しやすくなる
  • 正当化 → 「バレない」を防ぐ

👉 ただし重要👇
ログは「防ぐ」対策ではなく「見つける」対策

どんな場面で使う?

✔ 使う場面

  • 不正アクセスの調査
  • 内部不正の追跡
  • 監査対応(証跡提示)
  • インシデント対応の原因分析

✔ フォレンジックとの関係(重要)

ログは👇

👉 証拠として使われる

  • 改ざんされていないこと
  • 保存されていること

が重要になります。

👉
ログがないと証明できない

✔ 注意が必要な場面

  • ログを取るだけで放置
  • 保存期間が短い
  • 改ざん可能な状態で保存

👉 これらはすべてNG

よくある誤解・混同

❌ 誤解①:ログ管理=不正防止

→ ⭕ 不正の「検知・証明」が目的

❌ 誤解②:ログは保存していればOK

→ ⭕ 監視・分析が必要

❌ 誤解③:インシデント後に取得すればよい

→ ⭕ 事前に取得していないと意味がない

❌ 誤解④:アクセス管理と同じ

→ ⭕

  • アクセス管理 → 事前に防ぐ
  • ログ管理 → 事後に検知・証明

🔥 SG試験のひっかけ

  • 「ログがあるので不正は防げる」→ ❌
  • 「ログを分析していない」→ ❌
  • 「ログを証跡として保全している」→ ⭕

👉 判断基準👇
証拠として使えるかどうか

まとめ(試験直前用)

  • ログ管理=操作履歴の記録・監視・保存
  • 目的は「証跡」と「異常検知」
  • 防止ではなく「検知・証明」
  • 「取る+守る+見る」が重要
  • フォレンジックと直結する
  • 「証拠として使えるか」で判断する

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る