本基準は、運用・監視担当が満たすべき実装基準を定義する。対象には、ログ取得、監視、アラート、変更管理、作業承認、定期点検、インシデント初動、復旧対応、証跡保全を含める。
必須実装基準
| 領域 | 基準 | 統制目的ID | 必須証跡 |
|---|
| ログ源管理 | 重要ログ源を定義し、System IDとAsset IDへ結び付ける。 | L-01、L-05 | ログ源一覧 |
| ログ転送 | 認証、特権操作、設定変更、データアクセス、外部通信を収集する。 | L-01、L-02 | SIEM転送設定、監視ルール |
| ログ品質 | 時刻同期、欠損、保持期間、改ざん耐性を管理する。 | L-03 | NTP設定、欠損レポート |
| アラート | 重大度、一次対応、エスカレーション、クローズ条件を定義する。 | L-04、E-01 | アラートチケット、対応記録 |
| 変更管理 | 変更申請、承認、実施、戻し、事後確認を記録する。 | C-02、H-02 | 変更申請、承認履歴 |
| 作業承認 | 特権作業、緊急作業、委託先作業を承認制にする。 | H-02、H-04 | 作業申請、作業ログ |
| 定期点検 | バックアップ、ログ転送、証明書、ジョブ、監視を点検する。 | R-03、C-04、L-03 | 点検結果、是正チケット |
| インシデント初動 | 検知、報告、判断、封じ込め、証跡保全の手順を実行する。 | E-01、E-03 | インシデントチケット |
| 復旧対応 | 復旧作業、影響範囲、復元結果、再発防止策を記録する。 | R-04、E-04、E-05 | 復旧記録、改善計画 |
| 証跡保全 | 証跡の保存先、アクセス権、保存期間、削除条件を管理する。 | L-03、G-06 | 証跡保管設定、アクセスログ |
監視対象イベント
次のイベントは、Tier 0/1では必ず監視対象に含める。
| 分類 | イベント |
|---|
| 認証 | ログイン成功、失敗、MFA失敗、異常地域、異常端末。 |
| 特権操作 | 管理者ログイン、権限昇格、PAM利用、緊急ID利用。 |
| 設定変更 | FW、Security Group、IAM、IdP、監視、ログ、バックアップ設定の変更。 |
| データアクセス | 大量閲覧、エクスポート、共有リンク作成、権限変更。 |
| 外部通信 | 不審な外向き通信、C2疑い、未知宛先、データ転送量異常。 |
| 保護機能 | EDR停止、ログ転送停止、バックアップ失敗、監視無効化。 |
禁止事項
- ログを取得しているだけで監視済みと判定してはならない。
- アラートをクローズする際に、判断理由と証跡リンクを残さない運用をしてはならない。
- 緊急変更を事後記録なしに完了扱いにしてはならない。
- インシデント疑いの段階で、証跡保全前にログ削除、再起動、初期化を行ってはならない。
- バックアップ失敗を通知だけで終わらせ、復旧リスクへ接続しない運用をしてはならない。
評価指標
| 指標 | 基準 |
|---|
| 重要ログ源カバレッジ | Tier 0/1は90%以上から開始し、未収集は例外登録する。 |
| ログ欠損率 | 重大ログ源の欠損は検知し、是正チケットへ接続する。 |
| アラート対応SLA遵守率 | 重大アラートは定義したSLA内に一次判断を行う。 |
| 未承認変更件数 | ゼロを基準とする。発生時は原因分析を行う。 |
| 作業記録欠損件数 | 特権作業と緊急作業はゼロを基準とする。 |
参考資料(出典)