サイバーセキュリティ
サイバー攻撃の被害に遭うと、まず考えるのは「どう直すか」だと思います。
しかし実務で本当に詰むのは、直すことよりも説明することです。
そして説明に必要なのがログです。
ログが無い会社は、インシデント後にこうなります。
この記事では「ログが無いと何が起こるか」を生々しく整理しつつ、最低限のログ戦略を解説します。
ログは「何かあったときに見るもの」と思われがちですが、実際には違います。
ログは、事故後に社会から求められる説明責任を果たすためのインフラです。
インシデント対応で必ず聞かれる質問は、だいたい決まっています。
この5つは、ログが無いとほぼ答えられません。 逆にログがあると、たとえ侵入されていても「どこまでが事実か」を線引きできます。
ログが無いと、影響範囲の評価ができません。
すると結局、説明はこうなります。
「分からないので最悪を想定します」
この一言は、対外信用を削ります。
しかも“最悪を想定”すると、復旧よりも先に「全端末再構築」「全アカウント再発行」などコスト爆発が起こります。
ログが無いと、被害を小さくできないのではなく、被害を小さく“証明”できないのです。
復旧後に再侵入されるケースは、珍しくありません。
原因は単純で「入口が閉じていない」からです。
入口を閉じるには、侵入経路が必要です。侵入経路を辿るにはログが必要です。
つまりログが無い会社は、復旧しても同じ穴が開いたままになります。
インシデントは、技術だけで終わりません。
顧客、親会社、監査、取引先、場合によっては行政…説明する相手が増えます。
そのときに必要なのは「お気持ち」ではなく時系列です。
ログが無いと、この時系列が作れません。 結果として「管理が甘い」「隠しているのでは?」と疑われます。
ログは無限に取れますが、現実にはコストも運用も限界があります。
なので優先順位を付けます。
攻撃の入口は、だいたい認証です。ここが取れていないと“入口不明”になります。
ここまで揃うと「何が起きたか」をかなり高確度で語れます。
ログがあると何が嬉しいかというと、技術的に勝てるより前に、意思決定が速くなります。
ログとは「判断材料」そのものです。
判断材料がない状態での対応は、だいたい博打になります。
インシデント後の現場では、技術対応だけでなく、説明責任という現実が襲ってきます。
ログが無い会社は、攻撃に負ける以前に「説明」で詰みます。
まずは認証ログから。次にEDR。最後にネットワーク。
この順番で整備するだけでも、事故対応の強度は劇的に上がります。
脅威対策セミナーもしくはサイバーセキュリティアウェアネスセミナーの無料体験ができるモニターさん募集中!
興味ある方はLINEまたはメールでご連絡ください!
