web-dev-qa-db-ja.com

過去のデータ侵害を調査するために、ログを永久に保持する必要がありますか?

Pwnedされてからの安全なコードレッスン を聞いて、ロギングについて本当に考えさせられました。

現実の世界では、多くのデータ侵害が発生してからかなり後に発見され、調査と復旧がはるかに困難になることがよくあります。追跡および調査するログ。

それについて私たちは何ができますか?すべてのアプリケーション/システム/ウェブサーバーログを永久に保持する必要がありますか?

47
alecxe

残念ながら、質問に対する「正しい」答えはありません。データ保持ポリシーは組織のニーズに固有であり、多くの場合 さまざまな法的要件 に準拠するために必要に応じて実装されます。これは、保存されているデータの性質と管轄区域によって異なりますデータが該当すること。

ログデータを保持することで、質問で言及しているように、違反が発見された場合の事後分析が可能になります。ただし、保持されたデータは、ログに機密情報が含まれている場合、それ自体がセキュリティリスクになる可能性があるため、必要に応じてログファイルを保護するための手順を実行する必要があります。もう1つの明らかな要素は、ログを保持するコストです。可用性の要件によっては、ディスクの冗長性を使用するのではなく、古いログをオフサイトのテープストレージに保存するなど、さまざまなバックアップソリューションの方が他よりも費用対効果が高い場合があります。

44
John

10年

ログの保存は安価で、多くの場合、ASCII/UNICODEであり、長期アーカイブ用に簡単に圧縮されます。

ログを保持することは、予想できない理由でパージするよりも優れています。

しかし、最低でも10年の保持ポリシーは、米国を拠点とする企業にとって業界のベストプラクティスです。連邦の制限が定められており、ほとんどの州では、非墓者の犯罪に関して最大​​で10年です。

特定の産業セクターはさらに進んで、病院を含む臨床医は50年間健康記録と当然の電子ログデータを保持します

NYNEX(Verizonが買収)やその他の「ベビーベル」などの通信プロバイダーは、彼らの ペンレジスタ を保持しました。

記録の保持、ミラーリング、安全なオフサイトアーカイブは、あらゆる大規模な組織が取り組むべき慣行であり、実装すると日常的になります。

あなたがサービスプロバイダー、ホスティング会社、または何らかの方法で 個人を特定できるデータ の管理者である場合、10年の保持ポリシーにより、PCIを含むすべてのよく知られ、業界で受け入れられているセキュリティ基準に準拠します-DSSおよび業界のベストプラクティスの残りの電話帳。

統一された鉄張りの保持ポリシーを実証することは、ビジネスがRFP選択プロセスのトピックをすばやく立ち上げるのに役立ち、自分自身を「標準まで」と定義します。

これらのログファイルを無期限に保存することは、EUでは違法となる場合があります。新しいデータ保護法が2018年5月に施行され、まだ不明な領域がいくつかあるため、私は「かもしれない」と言っています。ただし、ルールは次のとおりです。

明示的な同意がないとしたら(おそらく、そうではないと思います)、法律で許可された目的でのみ個人データを保持することが許可されます。次の例外が適用されるため、データ侵害の調査を目的としてログファイルを保持することは許可されています。

ただし、依然として比例の原則に拘束されているため、「必要」な範囲でのみログデータを保存できます。ある時点で、データの有用性は理論上のものにすぎないため、処理の法的根拠がなくなります。厳密に設定された制限はありませんが、いずれにせよ、証明の負担はあなたの側にあります。セキュリティを保護するためにログファイルの保存が必要であることを証明する必要があります。

この規制は非常に広く適用されるため(たとえば、クライアントがEUにある場合)、米国で事業を行っている場合でも、このことを心配する必要があります。

とにかく、この規制を回避する方法があります。ログに個人データが含まれていない場合(たとえば、ユーザーを識別できない場合)、規制は適用されません。ただし、IPアドレスは個人データと見なされるため(eve

8
MikiRaven