応用情報技術者試験 応用情報技術者試験 令和4年度春期 午前 問61: システム管理基準（平成 30 年）によれば，IT システムの運用・利用におけるログ管理に関する記述のうち，適切なものはどれか。

問題本文

システム管理基準（平成 30 年）によれば，IT システムの運用・利用におけるログ管理に関する記述のうち，適切なものはどれか。

選択肢

• ア.取得したログは，不正なアクセスから保護し，内容が改ざんされないように保管する。
• イ.通常の運用範囲を超えたアクセスや違反行為に関するログを除外し，運用の作業ログ，利用部門の活動ログを記録し，保管する。
• ウ.特権的アクセスのログは，あまり重要ではないので，分析対象から除外する。
• エ.保管したログは，情報セキュリティインシデントが発生した場合にだけ分析し，分析結果に応じて必要な対策を講じる。

正解

ア. 取得したログは，不正なアクセスから保護し，内容が改ざんされないように保管する。

解説

ログは，不正の追跡や原因究明の証拠となる重要な記録であり，それ自体が改ざん・消去されてしまうと証拠価値を失う。したがってログは不正アクセスから保護し，改ざんされないように保管することが基本である。これを述べた“ア”が適切で正解となる。

選択肢ごとの解説

• ア.ログを不正アクセスから保護し改ざんされないよう保管することは，証拠性を守るための基本であり正しい。
• イ.通常の運用範囲を超えたアクセスや違反行為のログこそ不正検知に重要で除外してはならない。これらを除外する記述は不適切である。
• ウ.特権的アクセスは権限が大きく不正の影響も大きいため，ログを重視して分析すべきであり，分析対象から除外するのは不適切である。
• エ.ログはインシデント発生時だけでなく，平時から定期的に分析して異常の予兆を捉えるべきであり，発生時だけ分析するのは不適切である。