病院あるある(10) – ログは初期設定のまま

「ログは取ってますよ」

そう説明されるのですが、実際に設定を確認してみると「初期設定のまま」で、

• 重要な操作が記録されていない
• 記録はあるが、期間が短くてすぐ消えている
• どこに残っているのか分からない

といった状態になっていることがあります。

この状態だと、いざインシデントが起きた時に、

何が起きたか追えない／証拠が残らない「空っぽログ」になってしまいがちです。

「ログの初期設定」がなぜ不十分なのか、そして最低限どこを押さえるべきかを整理します。

何が完璧か分かりにくいログの世界ですが、次の3つを押さえると「空っぽ」から抜け出せます。

① 何を記録すべきか決める（最低限のセット）

最低限、次の種類は 「追える」 状態にします。

• 認証・ログオン（成功／失敗、どの端末から）
• 管理者操作・設定変更（アカウント作成、権限変更、ポリシー変更など）
• 重要サーバへのアクセス（ファイル共有、バックアップ、仮想基盤等）
• リモートアクセス（VPN、RDP、遠隔保守の接続履歴）

② 保存期間を延ばす（気付いた時には消えてた・・・を防ぐ）

• 最低でも 数か月単位で残せる設計にする
• 「端末の容量不足で上書き」が起きないように、保存先を検討する

目標値は病院規模や体制によりますが、「短すぎる」ことが最大の問題です。

③ ログを別の場所に残す（ローカルだけにしない）

サーバやネットワーク機器のログは、可能な範囲で 別の場所にもコピーして残す ようにします。ログを端末やサーバの中だけに置いていると、暗号化や破壊などの影響で ログも一緒に失われる ことがあります。また、ログは保存領域の容量に限りがあり、初期設定のままだと 容量不足で古いログから上書き・削除 されてしまいがちです。

「いざというときに残っていない」を避けるためにも、ログが消えにくい場所に「もう一つ残しておく」という考え方が現実的です。まずは「VPN機器」や「重要サーバ」など、影響が大きいところから始めるのがおすすめです。また、ログ保管先は、消されにくいように権限を分ける（最小権限にする）ことにも注意しましょう。

※ここでいう「別の場所に残す」は、いきなり高価な仕組みを導入する話ではありません。
まずは、必要なログが一定期間残る状態（記録対象・保存期間・時刻同期）を整えることが目的です。

おまけ：時刻がズレていると、ログが「つながらない」

ログを見返すときは「いつ何が起きたか」を時系列で追います。サーバや端末、VPN機器などで時刻がズレていると、ログ同士の突き合わせができず、原因究明が難しくなります。院内で基準となる時刻（NTP）を決め、全体が同期する仕組みを整えておきましょう。

まとめ

「ログは取っている」と説明されると安心してしまいますが、初期設定のままのログは、いざという時に役に立たないことがあります。

• 記録対象が薄い
• 保存期間が短い
• ローカル保存で消えやすい
• さらに時刻ズレがあると、ログ同士がつながらない

この状態は、原因も証拠も追えない「空っぽログ」につながります。

まずは残す（記録対象）／保つ（保存期間）／集める（集中管理） の3点と、時刻同期の整備から。「調べられる状態」を作ることが、基本的な運用管理であり、インシデント対応と再発防止にも役立つものになります。