メールサーバーのログ保存は必須ですか?見るだけの運用ではISMSでNGになりますか?
メールサーバーのログについて質問があります。
ログは、会社で保存しなければ不味いのでしょうか?
ログを見るだけで、見ていますという形にしたら駄目でしょうか?
理由は以下の通りです。
現在負担軽減を考えて、外部にレンタルという形でメールサーバーを移そうと考えています。
レンタルで借りると、ログが見れても取れない。
また、ログを会社に送ってもらうのに少なくないお金が懸かる、ということに為るからです。
サーバーを外部(レンタルサーバーやクラウド)へ移行し、運用の負担を軽減することは、ISMSの観点からも「可用性の向上」や「専門家による管理」というメリットがあり、推奨される選択肢の一つです。
ご懸念の「ログの保存と管理」について、実務上のポイントを整理して回答いたします。
1. ログは必ずしも「自社(手元)」に保存しなくてよい
ISMSの規格および弊社のサンプル規程(通信・運用管理規程)では、ログの「取得」と「一定期間の保持」を求めていますが、その場所が自社サーバー内である必要はありません。
外部業者のサーバー上にログが保存されており、必要な時に貴社がそれを確認・取得できる状態であれば、ISMS上の要求事項は満たされます。
2. 「見ている(監視)」の定義と審査対策
質問者様が仰る「見ている形にする」という運用は非常に重要です。ただし、ISMS審査においては「単に眺めているだけ」と「管理策として機能している」ことの違いが問われます。
- 「確認」の証跡を残す:
ログそのものを自社にダウンロードしなくても、「定期的にログを確認し、不正アクセス等の異常がなかったこと」を作業記録簿などに記録してください。これが「見て確認している」という実態(証跡)になります。 - 異常時の対応フロー:
ログを自社で所有していなくても、「もし異常を発見した場合に、外部業者から詳細なログを取り寄せて調査できる体制」が整っていれば問題ありません。
3. コストとリスクの落とし所
「ログの取り寄せに費用がかかる」という点については、以下の運用を検討されるのが現実的です。
- 通常時:
レンタルサーバーの管理画面でログを「閲覧」し、異常がないことを確認・記録する。(無料の範囲内で対応) - 有事(インシデント発生時)のみ:
必要な費用を払って詳細ログを取得し、原因究明を行う。
このように「通常時の監視」と「有事の調査」を切り分けて規定に定めることで、コストを抑えつつISMSの要求を満たすことが可能です。
4. 弊社サンプル規程(通信・運用管理規程)との整合性
弊社の規程では、ログの内容として「利用者のID」「日時の記録」「成功・失敗の試み」など(A.8.15)を考慮するよう定めています。
外部サーバーを利用する場合、これらの項目が「業者側で取得されているか」を契約や仕様書で確認しておくだけで、規程への準拠が証明できます。
まとめ:アドバイス
外部にメールサーバを移すということですが、特に問題ありません。また、ログを必ず会社で保存する必要はありません。
「時間が無いから省く」のではなく、「外部のリソースを賢く利用して、自社の負担を減らしつつ管理責任を果たす」という考え方がISMS成功の鍵です。
もし可能であれば、外部業者との契約書やサービス仕様書に「ログの保持期間(例:3ヶ月など)」が明記されているか確認しておくと、審査時の非常に強力なエビデンスとなります。
なお、既にご認識されており、細かなことですみません。
「見ている」ではなく、「見て確認している」とご認識下さい。
「見ている」だけでは、審査員から指摘を受ける可能性がありますので、
ログの取得や確認については、御社で、サーバーのアクセスにおいて問題(不正)があるか否かを確認・把握できる状態であれば、自社・他社のどちらで実施されていても結構です。
