- TOP
- > 記事
- > Webサーバのアクセスログはどこまで残すべき?ログの保存範囲と保存期間について
Webサーバのアクセスログはどこまで残すべき?
ログの保存範囲と保存期間について
企業や組織が扱う電子データには、業務記録、会計データ、個人情報、そしてシステムやネットワークが出力するログなど、多岐にわたる情報が含まれます。
これらの保存範囲と保存期間は、業種や法令、ガイドラインによって異なります。
本ページでは、その中でもサイバー攻撃を受けた際に深刻な影響を及ぼす一方で、保存や活用の方針が明確になっていないケースがある「Webサーバのアクセスログ*1」に焦点を当てます。
*1 Apache・IIS・Nginx等の一般的なアクセスログ、訪問者のIPアドレス、訪問日時、リクエストしたページ(リクエスト行)、利用ブラウザ、リファラーなどの情報
Webサーバのアクセスログを活用したインシデントレスポンス、脅威の早期把握、監査対応、説明責任の担保といった観点から、どこまで記録し、どれくらいの期間保存するか、セキュリティとコスト、運用負荷の均衡点を見極める必要があります。
保存戦略を検討する際に押さえておくべき実務的な視点を整理し、判断の指針となる基本的な考え方を解説します。
ログの保存期間の指針となるセキュリティガイドライン(2025年9月現在)
| ガイドライン | 推奨保存期間 | 対象ログ | 備考 |
|---|---|---|---|
| JPCERT/CCの資料『高度サイバー攻撃への対処におけるログの活用と分析方法』 | 1年以上 | ログ全般 | p.13 ログ保存期間に関する考え方 JPCERT/CC では、インシデント対応支援や高度サイバー攻撃の調査等の結果から、ひとつの参考値として1年分のログを保存することを推奨している。しかしながら、長期間にわたる高度サイバー攻撃や、採取したログを統計的に調査して初めて検知できるマルウエアもあるため、ログを調査すべき期間は長引く傾向にある。 (https://www.jpcert.or.jp/research/apt-loganalysis.html) |
| 内閣サイバーセキュリティセンター『政府機関等の対策基準策定のためのガイドライン(令和7年度版)』 | 1年以上 | ログ全般 | p.428 遵守事項 7.1.4(1)(b)「保存期間」について 保存期間については、情報システム又は当該システムに保存される情報の特性に基づき、設定される。ただし、標的型攻撃に関し、攻撃の初期段階から経緯を確認する観点からは、過去の事例を踏まえ、ログは1年間以上保存することが望ましい。 (中略) オンラインの電磁的記録媒体に保存する期間については、過去に遡って調査する期間や頻度、どの程度のコストをログの保存にかけられるかを考慮して決定する。(https://www.nisc.go.jp/policy/group/general/kijun.html) |
JPCERT/CCの資料『高度サイバー攻撃への対処におけるログの活用と分析方法』と内閣サイバーセキュリティセンター『政府機関等の対策基準策定のためのガイドライン(令和7年度版)』では、サーバやネットワーク機器、業務システムなどが出力するあらゆるログを包括的に対象としており、Webサーバのアクセスログも例外ではありません。
Webサーバのアクセスログ保存範囲と期間はセキュリティとコストの分岐点
Webサーバのアクセスログは、サイバー攻撃の兆候や到達の有無を実証的に確かめるための一次資料です。
一方で現場では、
「どこまで保存すれば良いのか」
「保存期間はどう定めるのか?1年?3年?もっと?」
「保存コストとのバランスが難しい」
判断に迷う場面が少なくありません。
Webサーバのアクセスログ保存範囲についての考え方
Webサーバのアクセスログは大部分が正常なアクセスで構成されていますが、その中に攻撃の兆候や不審な挙動が隠れています。本来であれば、全ログを保存して未知の攻撃や過去の挙動を後から追跡できるのが理想です。しかし現実には、全ログを長期にわたり保存すると過大なコスト負担が生じます。こうした制約を踏まえ、短期的には全ログを保存し、長期的には特定のログに絞るといった組み合わせも考えられます。全ログ保存と特定ログ保存について整理します。
全ログ保存
- 理想的な方法であり、未知の攻撃や過去の挙動を後から追跡可能
- 膨大なデータを保存するため、ストレージの負荷や運用コストが大幅に増加
特定ログ保存(フィルタリング)
- 攻撃の可能性があるアクセスログや、異常な挙動を示すアクセスログのみを保存
- コストを抑えつつ、必要な証跡を確保可能
具体的なフィルタリングの考え方や保存効率化の手法については、Loggolサイト内の「SIEMのコスト削減と効率化」で詳しく解説していますので、併せてご参照ください。
Webサーバのアクセスログ保存期間についての考え方
Webサーバのアクセスログの保存期間は、インシデントレスポンスに必要となる遡及性、ストレージの運用コスト、ならびに準拠すべき規格・ガイドラインとの整合性を総合的に考慮して設計することが求められます。
保存期間設計の一例です。
1年間保存
国内の一部ガイドラインと整合させやすく、内部監査・外部監査において最低限の証跡を提示できる運用です。一方で、長期潜伏型攻撃やゼロデイ脆弱性の遅延悪用といった検知までに時間を要する事案に対しては、遡及調査の範囲が不足する可能性があります。
3年間保存
初期侵入から検知まで年単位を要する事案や、訴訟・規制当局対応等の調査要請に備える観点から有効な選択肢です。その反面、保存・バックアップ・検索にかかるコストは増加します。重要システムや公共性の高いWebサービスにおいては、リスク許容度と説明責任の観点から採用されるケースも見られます。
短期保存と長期保存の併用
直近のログは全て保存しつつ、一定期間を過ぎたログについては攻撃の兆候や不審な挙動に関わるものを中心に抽出・保存することで、長期的な証跡確保とコスト最適化を両立できます。
法令・ガイドラインとの関係
組織によっては、取得範囲・改ざん防止・保存期間・保存方法・廃棄手順を含む保存方針を定め、手続きを整備することが求められます。
Webサーバのアクセスログ保存と活用を考える際のポイント
■保存の必須ラインを確認する
法令・業界基準や社内規程と突き合わせ、最低限必要な保存範囲と期間を把握
■収集から保存までの流れを設計する
全ログ保存による網羅性と特定ログ保存による効率性について整理
■コストを見積もる
容量だけでなく、検索性能やアーカイブからの取り出しに伴う運用コストも含めて検討
■定期的に見直す
トラフィックや攻撃手法の変化に合わせ、保存方針を調整
これが正解という唯一の基準はなく、業種やシステム構成ごとに最適解は異なります。
【Loggolのご紹介】
Web攻撃ログ分析サービス Loggol(ロゴル)は、Webサーバのアクセスログから正常アクセスと攻撃・異常アクセスを効率的に分類。本当に保存・調査すべきログをフィルタリングすることで、証跡性を確保しつつ保存コストを最適化できます。
Web攻撃ログ分析ツール「Loggol」の主な特徴
-
高精度な検知
国産クラウド型WAF「Scutum」と共通のデータサイエンス技術(ベイジアンネットワークやアノマリ検知など)を応用し、アクセスログから攻撃の兆候を高精度に抽出 参考:WAF Tech Blog 「ベイジアンネットワークを使ったウェブ侵入検知」 https://www.scutum.jp/information/waf_tech_blog/2014/02/waf-blog-034.html
-
導入の手軽さ
対象サイトごとの事前学習や煩雑な設定は不要。アクセスログをブラウザからアップロードするだけで分析が可能
-
高速な解析
数秒から数分で結果を確認できるスピード感※ログサイズによる
-
国内完結型サービス
開発・運用・サポート・データ管理をすべて日本国内で実施
-
継続的なアップデート
新たな脆弱性や攻撃手法の情報を随時収集・反映する運用体制
ツールの活用を前提としながら、経験豊富なセキュリティ専門家によるサポートプランもご用意しています。導入から運用、分析の高度化まで一貫して支援することで、企業規模や体制に合わせた最適なログ活用体制の構築をご支援します。
▶ 今すぐ無料トライアルを申し込む
