具体的には、
どんなログを、どのように取得し、どのような情報を収集するのか?それを誰がいつ行うのか?そして、優先順位付けの時に参考にするためにも、なぜ、そうしたポリシーが必要なのかも明確にします。結局、ここでもWho(だれが)When(いつ)、Where(どこで)、What(なにを)、Why(なぜ)、How(どのように)の5W1Hが重要となります。加えて、管理上ポリシーの作成に漏れが無いように一元管理を心がけ、社内のセキュリティポリシーや規定に準じるだけでなく、組織が守るべき法律や規制等があればその内容に十分対応できるポリシーを作成しなければなりません。
また、ポリシー作成時に考慮すべきなのは、該当するログのデータ量に連動して運用負荷やリソース状況の動きを把握して、適切に実施可能な内容であることです。重要度に合わせ、管理すべきログの項目を選別し、そのログをいつどんな目的でどのように分析するかなどを定め、その分析結果をどのように活用するのかを明確にしておくことが必要です。そして、その対象となったログが証拠として機能するように保管するためには、ログ原本が改ざんできない仕組みの中で、いつまでどのように保存しておくかも重要です。
また、適切な分析やレポート出力が出来ることが、ポリシーと実態の比較ができるログ状況を把握でき、そのログ状況から集計した統計情報を画面表示したり印刷できる仕組みが、監査を可能にします。
ログをエビデンスとして取り扱えることを可能にするためにも、
×