A.5.33 記録の保護
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.5.33 |
| 分類 | 組織的管理策 |
記録は、消失、破壊、改ざん、認可されていないアクセス及び不正な流出から保護しなければならない。
法令、規制、契約及び事業上の要求事項に従って、記録を保護するため。
実施の手引き
Section titled “実施の手引き”記録の保護には、以下を考慮する必要がある。
- 記録の分類と保存期間の決定
- 適切な保管方法の選択
- アクセス制御の実施
- 廃棄手順の確立
記録の種類と保存期間
Section titled “記録の種類と保存期間”| 記録の種類 | 保存期間 | 根拠 |
|---|---|---|
| 会計記録 | 10年 | 会社法 |
| 税務記録 | 7年 | 法人税法 |
| 雇用記録 | 退職後3年 | 労働基準法 |
| 契約書 | 契約終了後10年 | 民法 |
| セキュリティログ | 1年以上 | 社内規程 |
| 対策 | 内容 |
|---|---|
| 完全性 | 改ざん防止、バージョン管理 |
| 機密性 | アクセス制御、暗号化 |
| 可用性 | バックアップ、冗長化 |
| 真正性 | タイムスタンプ、電子署名 |
- 保存期間終了の確認
- 廃棄承認の取得
- 安全な廃棄方法の選択
- 必要に応じて廃棄の記録を残す
当社における実施状況
Section titled “当社における実施状況”当社では、情報セキュリティに関する記録(アクセスログ、インシデント記録等)を適切に保護・保管している。記録の保存期間は法令要件および業務要件に基づいて定めている。
セキュリティログの長期保存
Section titled “セキュリティログの長期保存”セキュリティログ(1年以上保存)の要件を満たすため、デフォルトの保持期間が不足するサービスについては、以下の長期保存の仕組みを導入している。
| サービス | デフォルト保持期間 | 長期保存方法 |
|---|---|---|
| Microsoft Entra ID | 7日 | nightwatch によるエクスポート |
| Google Workspace Admin | 6ヶ月 | nightwatch によるエクスポート |
| AWS CloudTrail | 90日 | S3への全ログ保存 |
| GCP Cloud Audit Logs (Admin Activity) | 400日 | 要件充足のため追加対応不要 |
-
- 組織的対策
-
- IT基盤運用管理