ログの取得ポリシーの策定では、以下を実施し、策定したポリシーを文書化します。
何のためにログを取得するのかを明確にするため、取得するログの目的を整理します。
たとえば、目的の例として、「不正アクセス時の調査に利用する」、「何らかの問題が発生した場合に、捜査機関への証拠として提出する」などがあります。
適切なログを取得するため、対象とするシステムにおいて取得できるログの種類を整理し、取得するログを決定します。
たとえば、ログの種類として、「OSログ」、「アプリケーションの実行ログ」、「データベースの監査ログ」などがあります。
ログ取得の対象とするアクセスを決定するため、どのようなアクセスがあるかを整理します。
たとえば、以下のアクセスが考えられます。
重要情報に関するアクセス
個人情報、機密情報、データベース管理情報へのアクセス
業務時間外のアクセス
ログイン
特定のSQL
不正が疑われるアクセス
大量検索アクセス
異なる場所からのアクセス
業務時間外のアクセス
取得したログを有効利用するため、ログとして必要な内容を整理し、取得内容を決定します。
たとえば、以下の出力内容が考えられます。
いつ (時間)
誰が (データベースアカウント、アプリケーションユーザー)
何を (オブジェクトID、テーブル名)
どこから (マシン名、IPアドレス)
どうやって (SQL種別、SQL文)
実行結果 (成功/失敗)
ログを正当な状態で利用するため、ログの保全指針を整理します。
たとえば、「保管場所」、「保管媒体」、「保管期間」、「アクセス制御」などがあります。