04 証跡基準
目的
本基準は、統制基準と実装基準が有効であることを説明するための証跡要件を定義する。統制が効いている状態とは、「実施した」と回答できる状態ではなく、「いつ、どのシステム・資産で、どの統制が、どの証跡により有効と判断されたか」を説明できる状態である。
証跡の基本要件
証跡は、次の要件を満たさなければならない。
| 要件 | 内容 |
|---|---|
| 対象明確性 | System ID、Asset ID、Control IDへ接続されている。 |
| 生成元明確性 | 証跡を生成したシステム、ツール、担当者、委託先が分かる。 |
| 時点明確性 | 生成時刻、取得時刻、評価時刻が分かる。 |
| 完全性 | 対象範囲、欠損、除外、未収集が分かる。 |
| 真正性 | 原本、署名、ハッシュ、監査ログ等により改ざん困難性が説明できる。 |
| 評価可能性 | 合格、不合格、例外、対象外、未評価を判定できる。 |
| 責任明確性 | 証跡の生成、確認、評価の責任者が分かる。 |
| 保存管理 | 保存期間、閲覧権限、削除条件が定義されている。 |
証跡信頼度
| Level | 分類 | 例 | 扱い |
|---|---|---|---|
| Level 1 | 一次証跡 | API取得ログ、クラウド設定、IdPログ、EDRログ、CI/CD実行結果、スキャン結果、チケット履歴 | 主証跡にする。Tier 0/1では原則必須。 |
| Level 2 | システム生成レポート | CSPMレポート、脆弱性診断レポート、SBOM、アクセスレビュー出力、バックアップジョブレポート | 主証跡または準主証跡にする。生成元と生成時刻を保持する。 |
| Level 3 | 補助証跡 | スクリーンショット、台帳転記、手作業集計、会議資料 | 補助に限定する。一次証跡へのリンクを併記する。 |
| Level 4 | 自己申告 | チェックリスト回答、メール回答、口頭説明、監査前メモ | 主証跡にしてはならない。説明補足に限定する。 |
Level 3またはLevel 4しか存在しない場合、証跡不備として05に基づき例外登録しなければならない。
証跡メタデータ
証跡には、少なくとも次のメタデータを持たせる。
| 項目 | 内容 |
|---|---|
| Evidence ID | 証跡を一意に識別するID。 |
| Control ID | 対応する統制目的ID。 |
| System ID | 対象システム。 |
| Asset ID | 対象資産、アカウント、設定、データ、委託先。 |
| Evidence Level | Level 1からLevel 4の分類。 |
| 証跡ソース | API、ログ、スキャン、CI/CD、チケット、契約、監査報告など。 |
| 証跡形式 | JSON、CSV、PDF、ログイベント、チケット、設定エクスポートなど。 |
| 生成時刻 | 証跡が生成された時刻。 |
| 取得時刻 | 証跡が取得または登録された時刻。 |
| 評価時刻 | 証跡に基づき統制評価した時刻。 |
| 鮮度SLA | 日次、週次、月次、四半期、イベント時など。 |
| 評価結果 | 合格、不合格、例外、対象外、未評価。 |
| 責任者 | 生成責任者、評価責任者、承認者。 |
| 完全性 | 対象範囲、欠損、除外、未収集の有無。 |
| 改ざん耐性 | 署名、ハッシュ、WORM、原本リンク、監査ログ。 |
| 保存期間 | 保持する期間と削除条件。 |
| Exception ID | 例外に接続する場合のID。 |
鮮度SLA
| 領域 | Tier 0/1 | Tier 2 | Tier 3 |
|---|---|---|---|
| 資産管理 | 日次から週次 | 月次 | 四半期 |
| 特権ID | 日次から週次 | 月次 | 四半期 |
| 脆弱性 | 継続、週次、または月次 | 月次 | 四半期または変更時 |
| 構成逸脱 | 日次から週次 | 月次 | 四半期 |
| ログ転送 | 継続監視 | 日次または月次 | 月次または四半期 |
| バックアップ | 日次確認、定期復元試験 | 日次または週次確認 | 月次確認 |
| アクセスレビュー | 四半期以上 | 半期以上 | 年次以上 |
| 委託先証跡 | 四半期以上、重大変更時 | 年次以上 | 契約更新時 |
| AI/Data | 利用開始時、モデル変更時、データ変更時 | 変更時、定期レビュー | 利用範囲に応じて定義 |
鮮度SLAを超過した証跡は、統制有効性の根拠として使用してはならない。必要に応じて例外登録または再取得を行う。
証跡契約
Tier 0、Tier 1、重要なExternal、重要なAI/Dataでは、証跡契約を作成しなければならない。証跡契約には次を含める。
| 項目 | 内容 |
|---|---|
| 対象 | System ID、Asset ID、対象環境、対象データ。 |
| 統制目的 | Control ID、適用理由、適用深度。 |
| 証跡 | 証跡種別、Evidence Level、取得方法、形式。 |
| 頻度 | 取得頻度、鮮度SLA、イベント時取得条件。 |
| 責任 | 生成責任者、評価責任者、例外承認者。 |
| 品質 | 完全性、正確性、改ざん耐性、欠損時対応。 |
| 保存 | 保存期間、保管場所、閲覧権限、削除条件。 |
| 例外 | 未取得、不合格、対象外の場合のException ID発行条件。 |
証跡契約、証跡レコード、評価結果、例外、リスク登録簿をDBとして実装する場合は、93 証跡DB設計を参照する。
改ざん耐性
重要証跡には、次のいずれかを適用する。
- 原本システムへのリンクを保持する。
- ハッシュ、署名、タイムスタンプを付与する。
- WORM、オブジェクトロック、監査ログ付きストレージを使用する。
- 証跡登録、閲覧、削除の権限を分離する。
- 取得者、取得時刻、評価者、評価時刻を記録する。
スクリーンショットまたは手作業で作成したPDFは、改ざん耐性のある証跡とは扱わない。
保存と削除
証跡保存期間は、法令、契約、監査、インシデント調査、個人情報保護の要件に基づき定義する。保存目的が消滅した証跡は、削除条件に従って削除する。
長期保存が必要な証跡は、分析用データと監査用原本を分ける。閲覧権限は最小権限とし、証跡閲覧自体のログを残す。