コラム

COLUMN

監査証跡の適切な保存期間はどれくらいか

監査証跡は、企業のセキュリティ対策およびIT統制全般にとって重要な情報です。
監査を行った実績であり、不正がないことの証明にもなります。
また有事の際には調査に使用する重要なデータです。

しかしこの監査証跡は大容量になりがちで、限りあるハードウェア資源を大きく使用してしまいます。
では過去の監査証跡をいつまで保管しておけば良いのでしょうか。

目次

  1. 監査証跡の重要性
  2. 大容量のデータ、悩ましい保管期間
  3. 監査証跡の保管期間について書かれたガイドライン
  4. まとめと運用の実例

「監査証跡管理」は、企業のセキュリティ対策およびIT統制全般にとって重要な対策のひとつです。監査証跡とは、企業内コンピューターが正しく操作が行われた事を証明できる記録です。万が一、不正が起きてしまった場合には、その期間の操作などを追跡できる唯一の情報です。
その用途は以下の通りです。

  • 監査実績の証明
  • 不正発覚時の調査エビデンス

現代社会の犯罪解決も、路上に設置された監視カメラの情報が大きく寄与しています。重要情報が保管されている企業システムへの不正防止も、この監査証跡が大きな鍵となります。

もし、不正アクセスなどの疑いが発覚した場合は、早急に原因の究明を行わなければなりませんので、素早く追跡ができる環境を整えておかなければなりません。
一方で不正は、いつ発生するか分からず、発生してもすぐに明るみに出るかは分かりません。
時に数年後に不正が発覚する、なんてこともありますので、監査証跡は直近のデータだけを保持すれば問題ないということはありません。長期的に保管しておく仕組みも必要になってきます

しかしながら監査証跡のデータは、操作ログやアクセスログなど様々なデータから構成されますので、長期間保存しておくと、容量が膨大になりがちです。容量が膨大になると、いざ調査しようとすると検索に時間がかかり過ぎたり、そもそも証跡データを保管するサーバーに限界がないわけではありません。
いったいどれくらいの期間を保管しておけば良いのでしょうか。

各種セキュリティガイドラインの中で、監査証跡の保管期間について明確に記載があるのは、クレジットカード業界のセキュリティ基準「PCIDSS」です。

□PCIDSS v4.0

【 要件10.5 】
監査証跡の履歴を少なくとも 1 年間保持する。
少なくとも 3 カ月はすぐに分析できる状態にしておく
(オンライン、アーカイブ、バックアップから復元可能など)

上記の通り、PCIDSSでは「すぐチェックできるように直近3ヶ月、過去1年間は最低保管」という要件になっています。
他のガイドラインには明確に記載がありません。

※ 「PCI DSS v4.0」について詳しくは以下のコラムで解説しています。
PCI DSS v4.0とは?準拠のメリットや対応の課題を解説

そこで、法律関連の情報を確認してみると、以下の通りです。

□ 刑事訴訟法 第百九十七条 3

「通信履歴の電磁的記録のうち必要なものを特定し、三十日を超えない期間
定めて、これを消去しないよう、書面で求めることができる。」

□ サイバー犯罪に関する条約 第十六条 2

「必要な期間(九十日を限度とする。)、当該コンピュータ・データの完全性を
保全し及び維持することを当該者に義務付けるため、必要な立法その他の措置をとる。」

□ 不正アクセス禁止法

不正アクセス禁止法による違反の時効は3年間

□ 内部統制関連文書、有価証券報告書とその付属文書の保存期間及び電子計算機損壊等業務妨害罪

内部統制関連文書、有価証券報告書とその付属文書の保存期間及び電子計算機
損壊等 業務妨害罪の時効は5年間

□ 電子計算機使用詐欺罪

電子計算機使用詐欺罪の時効は7年間

□ 『不当利得返還請求』等民法上の請求権期限、及び総勘定元帳の保管期限

『不当利得返還請求』等民法上の請求権期限、及び総勘定元帳の保管期限は10年間

上記の通り様々です。

上記のことからも、監査証跡の保存は、以下の2つの期間に分けて対処することが望ましいと考えられます。

  1. 即座に分析できる期間
    • 監査証跡をオンライン状態にしておき、ストレスなく検索する事ができる状態にしておく期間
  2. 過去データをアーカイブして保管する期間
    • 大容量のデータを保管するのに適した環境へ移して、監査証跡を保存しておく期間

WEEDSでは、お客様毎にオーダーメイドにてご案内しておりますが、多くは「直近1年をオンラインで分析できる状態に、過去5年をアーカイブして保管」で設定する企業が多いです。

しかし、この期間はあくまでも目安です。監査証跡の内容が自社にとってどれだけ重要性の高いものであるのか、社内のセキュリティレベルに合わせ、所属する業界や監督官庁によって保管期間を設定すると良いでしょう。

弊社の製品「WEEDS Log-RepositoryManager」では、お客様の要件に合わせてログの保存期間を設定できます。お気軽にお問合せください。

Writer 星 光史
WEEDS SYSTEMSの創業メンバーの一人。
創業から証跡監査、アクセスログ分野のツールを自社販売してきたWEEDS SYSTEMS社で、導入からセールスサポートまで一貫して従事し続けているコアメンバー。現場で起きているお客様の課題や悩みに直面しながら解決に導き、製品バージョンアップの方針策定も手掛ける。