【概要】
■主な文書の法定保存期間
◇人事/労務関係
| 文書 | 保管期間 |
|---|---|
| 健康保険、厚生年金保険、雇用保険に関する書類 | 2年 |
| 雇入れ・解雇・退職に関する書類 | 3年 |
| 健康診断個人票、医師の面談記録 | 5年 |
◇経理/税務関係
| 文書 | 保管期間 |
|---|---|
| 会計監査報告に関する書類 | 5年 |
| 資産の譲渡等または対価の返還等に関する帳簿、課税仕入等の税額の控除にかかる帳簿および請求書等 | 7年 |
| 会計帳簿および事業に関する重要書類 | 10年 |
◇総務/庶務関係
| 文書 | 保管期間 |
|---|---|
| 有価証券届出書・有価証券報告書およびその添付書類、訂正報告書の写し | 5年 |
| 製品の製造、加工、出荷、販売の記録 | 10年 |
| 株主総会、取締役会、監査役会の議事録 | 10年 |
■PCIDSS(PCIDSS 3.2.1)
- 監査証跡の履歴を少なくとも 1 年間保持する。
- 少なくとも 3 カ月はすぐに分析できる状態にしておく
■保管期限
| 法律 | 内容 |
|---|---|
| 刑事訴訟法 第百九十七条 3 | 通信履歴の電磁的記録のうち必要なものを特定し、三十日を超えない期間を定めて、これを消去しないよう、書面で求めることができる。 |
| サイバー犯罪に関する条約 第十六条 2 | 必要な期間(九十日を限度とする。)、当該コンピュータ・データの完全性を保全し及び維持することを当該者に義務付けるため、必要な立法その他の措置をとる。 |
■時効
| 法律 | 内容 |
|---|---|
| 不正アクセス禁止法 | 3年 |
| 電子計算機損壊等業務妨害罪 | 5年 |
| 電子計算機使用詐欺罪 | 7年 |
【ニュース】
■2013年
◆ログ保存の義務化検討 サイバー犯罪捜査へ政府戦略 (朝日新聞, 2013/05/21 16:11)
http://www.asahi.com/politics/update/0521/TKY201305210114.html
⇒ https://malware-log.hatenablog.com/entry/2013/05/21/000000_6
■2016年
◆IPA、企業における情報システムのログ管理の実態調査結果を公表 (マイナビニュース, 2016/06/10)
http://news.mynavi.jp/news/2016/06/10/391/
⇒ https://malware-log.hatenablog.com/entry/2016/06/10/000000_4
■2017年
◆法定保存期間を超えてデータを長期保管すべき理由とは? (ワンビシアーカイブズ, 2017/03/22)
https://www.wanbishi.co.jp/blog/reason-long-term-archive-over-legal-period.html
⇒ https://malware-log.hatenablog.com/entry/2017/03/22/000000_8
■2018年
◆Windowsのログ管理ツールをJPCERT/CCが公開、サイバー攻撃の挙動調査に役立つ (@IT, 2018/09/10 11:00)
http://www.atmarkit.co.jp/ait/articles/1809/10/news039.html
⇒ https://malware-log.hatenablog.com/entry/2018/09/10/000000
■2019年
◆コインチェック、ログ監視の強化で米社サービス採用 (日経新聞, 2019/06/10 15:00)
https://www.nikkei.com/article/DGXMZO45886100Q9A610C1000000/
⇒ https://malware-log.hatenablog.com/entry/2019/06/10/000000_1
■2020年
◆「無関係な記録が多すぎる」、SIEMが露呈したセキュリティ運用の限界とその解決策 (日経XTECH, 2020/06/10)
https://active.nikkeibp.co.jp/atcl/wp/b/20/06/03/00585/
⇒ https://malware-log.hatenablog.com/entry/2020/06/10/000000_11
◆コマンド一発でウェブサイトのアクセスログをターミナルやウェブブラウザで可視化できる「GoAccess」レビュー (Gigazine, 2020/06/13 15:00)
https://gigazine.net/news/20200613-goaccess/
⇒ https://malware-log.hatenablog.com/entry/2020/06/13/000000
■2024年
◆Microsoft expands free logging capabilities after May breach (BleepingComputer, 2024/02/21 17:31)
[マイクロソフト、5月の情報漏洩後に無料ログ機能を拡張]
https://www.bleepingcomputer.com/news/security/microsoft-expands-free-logging-capabilities-after-may-breach/
⇒ https://malware-log.hatenablog.com/entry/2024/02/21/000000_3
【ブログ】
■2020年
◆監査証跡の適切な保存期間はどれくらいか (WEEDS SYSTEMS, 2020/05/28)
https://www.weeds-japan.co.jp/column/20200528_518/
⇒ https://malware-log.hatenablog.com/entry/2020/05/28/000000_14
【公開情報】
■2017年
◆ログを活用したActive Directoryに対する攻撃の検知と対策 (JPCERT/CC, 2017/07/28)
http://www.jpcert.or.jp/research/AD.html
⇒ https://malware-log.hatenablog.com/entry/2017/07/28/000000_6
◆マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25) (JPCERT/CC, 2017/09/25)
https://blogs.jpcert.or.jp/ja/2017/09/search-datper.html
⇒ https://malware-log.hatenablog.com/entry/2017/09/25/000000_8
【資料】
■2016年
◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2016/06/28)
http://www.jpcert.or.jp/research/20160628ac-ir_research.pdf
⇒ https://malware-log.hatenablog.com/entry/2016/06/28/000000_8
■2017年
◆ログを活用したActive Directoryに対する攻撃の検知と対策(プレゼンテーション資料)(JPCERT/CC, 2017/03/14)
http://www.jpcert.or.jp/research/AD_presen_20170314.pdf
⇒ https://malware-log.hatenablog.com/entry/2017/07/28/000000_6
◆ログを活用したActive Directoryに対する攻撃の検知と対策 (JPCERT/CC, 2017/07/28)
http://www.jpcert.or.jp/research/AD_report_20170314.pdf
⇒ https://malware-log.hatenablog.com/entry/2017/07/28/000000_6
■2023年
◆付録 L: 監視するイベント (Microsoft, 2023/03/09)
https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor
⇒ https://malware-log.hatenablog.com/entry/2023/03/09/000000_5
【論文】
■2009年
◆ファイアウォールログを利用したマルウェア活動の検出手法について (NTTコミュニケーションズ, 2009/04/22)
https://www.iwsec.org/mws/2009/paper/A4-2.pdf
⇒ https://malware-log.hatenablog.com/entry/2009/04/22/000000
■2014年
◆ログ解析によるマルウェア侵入検知手法の提案 (DICOMO2014, 2014/07/09)
https://ipsj.ixsq.nii.ac.jp/ej/?action=repository_uri&item_id=104943&file_id=1&file_no=1
⇒ https://malware-log.hatenablog.com/entry/2014/07/09/000000_1
【ツール】
◆GoAccess - Visual Web Log Analyzer (GoAccess)
https://goaccess.io/
【イベントID】
■セキュリティログ
| EventID | 備考 |
|---|---|
| 4624 | アカウントが正常にログオンしました |
| 4634 | アカウントが正常にログオフしました |
| 4648 | 明示的な資格情報を使用してログオンが試行されました |
| 4656 | オブジェクトに対するハンドルが要求されました |
| 4658 | オブジェクトに対するハンドルが閉じました |
| 4660 | オブジェクトが削除されました |
| 4663 | オブジェクトへのアクセスが試行されました |
| 4720 | ユーザー アカウントが作成されました |
| 4768 | Kerberos認証チケット(TGT)が要求されました |
| 4769 | Kerberosサービス チケットが要求されました |
| 4672 | 新しいログオンに特権を割り当てました(4624の後に発生) |
| 4673 | 特権のあるサービスが呼び出されました |
| 4688 | 新しいプロセスが作成されました |
| 4689 | プロセスが終了しました |
| 4698 | スケジュールされたタスクが作成されました |
| 4769 | Kerberosサービス チケットが要求されました |
| 4673 | 特権のあるサービスが呼び出されました |
| 4946 | Windows ファイアウォールの例外の一覧が変更されました(ファイアウォールへの設定変更) |
| 5140 | ネットワーク共有オブジェクトにアクセスしました |
| 5142 | ネットワーク共有オブジェクトが追加されました |
| 5144 | ネットワーク共有オブジェクトが削除されました |
| 5145 | ネットワーク共有オブジェクトに対する、クライアントのアクセス権をチェックしました(同イベントIDは数度記録される |
| 5154 | Windows フィルターリング プラットフォームで、アプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました |
| 5156 | フィルタリング プラットフォームによる接続の許可 |
| 5447 | Windows フィルターリング プラットフォームのフィルターが変更されました(ファイアウォールへの設定変更) |
| 8222 | シャドウ コピーが作成されました |
■システムログ
| EventID | 備考 |
|---|---|
| 7036 | サービスの状態が移行しました |
| 7045 | サービスがシステムにインストールされました |
| 20001 |
■アプリケーションログ
| EventID | 備考 |
|---|---|
| 21 | リモートデスクトップ セッション ログオン成功) |
| 24 | リモートデスクトップ セッション 切断) |
| 60 | |
| 80 | 操作 Get の要求を送信しています |
| 81 | 要求の処理 |
| 106 | タスクが登録されました |
| 129 | タスクのプロセスが作成されました |
| 132 | WSMan の操作 Get が正常に完了しました |
| 143 | ネットワーク レイヤーから応答を受信しました |
| 166 | 選択された認証機構 |
| 200 | 開始された操作 |
| 201 | 操作が完了しました |
| 500 | 互換性修正プログラムが適用されています |
■Sysmon
| EventID | 備考 |
|---|---|
| 1 | Process Create |
| 2 | File creation time changed |
| 5 | Process Terminated |
| 8 | CreateRemoteThread detected: |
| 9 | RawAccessRead detected (ディスクの直接読み取りを検知) |
■レジストリ
| EventID | 備考 | |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | Windowsファイアウォールの設定が変更 | |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS | サービスの状態を確認可能 | |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySetting | ||
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSetti | ||
| HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Default\ | リモートデスクトップの接続履歴 | |
| HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Servers\[接続先IPアドレス]\ | 最後にアクセスしたアカウントドメイン及びユーザ | |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb | ||
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\{[UAC回避に使用されるアプリケーション名]} | ||
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID] | ||
| HKEY_LOCAL_MACHINE\CurrentControlSet\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[Snapshot番号] | ||
| HKEY_USERS\[SID]\Software\Sysinternals\Sdelete | 最初の使用時の同意 |
