「ログ」は犯人探しのためではない。サイバー攻撃を受けた時、自社を無実にするための「インフラの防衛証拠」
「ログ管理」と聞くと、サーバーやシステムの保守のために技術者が扱う“専門的な記録”というイメージが強いかもしれません。
しかし、今の中小企業におけるログの役割は、「自社の正当性を客観的に証明するための、防衛用の証拠」という側面が非常に大きくなっています。
もし自社ネットワークがサイバー攻撃の「踏み台」にされ、取引先への攻撃元として名前が挙がってしまったとき。
その場であなたの会社を守れるのは、「記憶」ではなく「記録(ログ)」だけです。
1. 「やっていないこと」を証明する難しさ
1-1. 身に覚えのない“加害者リスク”
踏み台攻撃とは、自社のPCやルーターなどが乗っ取られ、自社のIPアドレスから他社への攻撃が行われるタイプのサイバー攻撃です。
この場合、攻撃を受けた側や警察、取引先から見えるのは「攻撃元IPアドレス」であり、それがあなたの会社の回線に紐づいていれば、まずは“加害者側”として疑われる立場になります。
1-2. ログがない=反論する材料がない
「社内では誰もやっていない」「うちの社員はそんなことをしない」と口頭で説明しても、客観的な証拠がなければ説得力を持ちません。
ログが残っていなければ、
- その時間帯に、どの端末から、どの宛先に通信したのか
- 社外からの不正アクセスがあったのか
- 社員アカウントが盗まれて悪用されたのか
といった事実関係を示すことができず、「外部から乗っ取られた」という主張も裏付けがない状態になります。
1-3. インフラの「ドライブレコーダー」としてのログ
交通事故のとき、ドライブレコーダーの映像が「自分には過失がない」ことを証明する材料になるのと同じです。
ネットワークにおけるログもまた、
- いつ
- どこから
- どこへ
- どのような通信が行われたか
を記録することで、「自分がやっていない」ことを証明するためのインフラ版ドライブレコーダーになります。
2. ログがあることで防げる「二次被害」とコスト
「ログを取るかどうか」は、単に“技術的なこだわり”ではありません。
インシデント発生後の時間・コスト・ reputational damage(評判へのダメージ)に、直接影響します。
2-1. 調査費用の大幅な削減
ログがほとんど残っていない状態でインシデントが発生すると、
- 専門のフォレンジック業者によるディスク解析
- ネットワークキャプチャの再現
- 関連システムの詳細ヒアリング
など、“推理”に近い作業をゼロから行う必要が出てきます。
その結果、
- 調査に数週間〜数カ月
- 費用も数百万円単位
といったレベルに膨らむことも珍しくありません。
一方で、適切なログが残っていれば、「どの時点から、どの範囲で不正通信があったか」を絞り込めるため、調査時間と費用を大幅に圧縮できます。
2-2. 業務停止範囲の最小化
ログがない場合、
- どのサーバーまで侵入されたのか
- どの端末がマルウェアに感染しているのか
が分からないため、“念のため全部止める”という最悪の選択肢を取らざるを得ないことがあります。
逆に、ログから侵入経路と影響範囲を絞り込めれば、
- 影響を受けたサーバー群だけを隔離
- 一部システムを止めつつ、他の業務は継続
といった、業務継続を意識した柔軟な対応が可能になります。
2-3. 対外的な説明責任(アカウンタビリティ)
いつ発生し
正確な発生時刻の特定
何が原因で
侵入経路の客観的な特定
どこまで侵害され
被害範囲の正確な切り出し
何が守られたのか
漏洩しなかった事実の証明
ログがきちんと残っていれば、「推測」ではなく「事実」に基づいた説明ができます。
これは単に法的な意味だけでなく、「この会社はきちんと状況を把握している」という信頼回復の最短ルートにもなります。
3. 「とりあえず取る」から「使えるログ」へ:プロの設計思想
「ログは取っています」と言いつつ、いざという時に役に立たないケースもよくあります。
「残っていること」と「使えること」は別問題だからです。
3-1. 保存期間の現実的なライン
サイバー攻撃は、侵入から発覚まで数週間〜数カ月かかることも珍しくありません。
それにもかかわらず、
- ルーターやUTMの内部メモリに数日分しか残っていない
- ローテーションで上書きされてしまい、事件発生日以前のログが消えている
という状態では、「肝心な時期の証拠がごっそり抜け落ちている」ことになります。
中小企業向けには、コストとリスクのバランスを取る形で、
といった現実的なラインを最初に設計しておく必要があります。
3-2. 集中管理の必要性:Syslogサーバー/クラウドへの転送
攻撃者は、侵入後に自分の痕跡(ログ)を消そうとするのが一般的です。
そのため、機器本体にだけログを残していると、
- 侵入された機器ごとログが消される
- 機器故障とともに証拠も失われる
というリスクがあります。
これを避けるために有効なのが、
- UTM・ルーター・スイッチ・サーバーなどのログを、Syslogサーバーやクラウドログ基盤にリアルタイムで転送・集約する設計です。
こうして集中管理しておくと、
- 「まずここを見ればよい」という“ログの入口”が一箇所に定まる
- 機器側のログが消されても、外部にコピーが残る
- バックアップ・暗号化・改ざん対策を一括で設計しやすくなる
といったメリットがあります。
3-3. 「捨てるログ」と「残すログ」の設計
全ての通信を詳細に記録しようとすると、ストレージがいくらあっても足りません。
また、ノイズだらけのログは、いざという時に“読み解けない壁”になってしまいます。
UTM・VPN・管理者の操作
外部との境界、誰がいつ入ったかの「絶対的な証拠」です。
統計・重要アラート
全体の傾向や異常検知のみを、コンパクトに保存します。
低リスクな内部イベント
業務に関係のない細かな動作記録は、容量節約のためカットします。
中小企業で最低限押さえたいのは、
- 「誰が」「いつ」「どこから」「どこへアクセスしたか」
- 「どの門(UTM・VPN・重要サーバー)をいつ通過したか」
といった、“人とシステムの出入り”に関するログです。
この軸さえ押さえておけば、「犯人探し」より先に「自社の無実を証明する」ための証拠として十分な価値が出てきます。
4. 経営者がチェックすべき「自社の防衛レベル」
ログ設計の細部は技術者の領域ですが、経営者・管理者として押さえておきたい確認ポイントがあります。
確認ポイント1:
自社のメインルーターやUTMは、今「何日分のログを」「どこに」残しているか?
- 機器の内部に数日分だけなのか
- 外部のSyslogサーバー/クラウドに、どれくらいの期間保存されているのか
- 改ざん防止やバックアップの仕組みがあるか
を、一度紙に書き出して把握するだけでも、防衛レベルの現状が見えてきます。
確認ポイント2:
万が一の際、そのログを「誰が」「どれくらいのスピードで」解析できる体制か?
- 社内にログを読める人がいるのか
- 外部の保守パートナーに連絡すれば、何時間以内に初動ができるのか
- 夜間・休日の対応はどうなっているのか
など、「証拠はあるが、誰も読めない/読むまでに何日もかかる」という状態になっていないかを確認します。
確認ポイント3:
社員が「何かおかしい」と感じた時、ログを遡って確認する習慣はあるか?
- 怪しいメールや不審な動作があったときに、「ログを確認する」という発想が社内にあるか
- 月次あるいは四半期ごとに、不審なログがないか簡易チェックをしているか
といった、平時の“ログを見る文化”があるかどうかも、防衛レベルを左右します。
まとめ:ログ管理は「会社という城」と「社員の無実」を守るための防衛策
ログ管理は、社員を監視するためのものではありません。
「会社という城と、そこで働く社員の無実を守るための防衛策」です。
- インシデントは「いつか必ず起きるもの」と考える
- そのとき、自社を救えるのは平時に整えておいた“証拠”である
という前提で、ログの取り方・残し方を設計することが、これからの中小企業に求められる経営判断です。
福岡の企業の皆様が、予期せぬトラブルで本業を止めないために。
T-dotでは、現在のネットワーク機器やUTMの設定が「いざという時に証拠として機能するレベルになっているか」を確認する、無料のログ・ネットワーク診断を行っています。
- どこまでログが残っているか
- どこで集中管理できているか
- 何が足りていないか
を整理し、「過剰な投資をせずに、防衛証拠として機能するログ設計」を一緒に検討していきましょう。
