セキュリティログの保持期間は6か月で十分?主要製品のデフォルト保持期間と延長オプションを徹底比較
サイバー攻撃の調査では、「いつ、何が、どこから侵入したのか」を遡って解明するためにログが頼りになります。しかし、いざインシデントが起きてログを確認しようとすると、「ログがもう消えていて辿れない」というケースが少なくありません。
近年は「ログ保持期間は最低でも6か月」というのが事実上の業界基準として広まりつつあります。一方で、実際に契約しているセキュリティ製品のデフォルト保持期間が 7日〜30日 しかなく、追加オプションを契約しないと6か月どころか1か月もログが残らないケースも多くあります。
本記事では、ログ保持期間「6か月」という基準の根拠と、主要セキュリティ製品のデフォルト保持期間、そして延長オプションを比較し、自社に必要なログ保持期間の決め方を解説します。
なぜログ保持期間が問われるのか
ログ保持期間が議論される理由は、大きく2つあります。
① インシデントの遡及調査に必要だから
サイバー攻撃の特徴は、「侵入してから発覚するまでに時間がかかる」という点にあります。Mandiant の調査(M-Trends 2024)によると、攻撃者が侵入してから検知されるまでの平均期間(Dwell Time)は世界全体で 約10日 まで短縮されましたが、これはランサムウェアの「派手な」攻撃が早く発見されるためで、情報窃取型の静かな攻撃は数か月~年単位で潜伏することもあります。
調査時には、最初に侵入された日まで遡って「どのアカウントが、どのIPから、何をしたのか」を時系列で再構成する必要があります。侵入時点のログが消えていれば、被害範囲も侵入経路も特定できません。
② 規制・ガイドラインで要求されるから
業種・取扱情報によっては、ログ保持期間がルールで決まっています。代表的なものは以下の通りです。
- PCI DSS 4.0:監査ログを少なくとも12か月保持。うち直近3か月はオンラインで即時アクセス可能であること(要件10.5.1)
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」:「ログの取得・保管・分析の体制整備」を経営者が指示すべき項目として明記
- IPA「中小企業の情報セキュリティ対策ガイドライン」:取得したログを分析できる体制と一定期間の保管を推奨
- ISMS(ISO/IEC 27001:2022) 附属書A.8.15:監視ログを生成・保管・保護・分析。期間は組織のリスク評価で定義
- 警察庁・サイバー犯罪捜査:通信ログ等は最低6か月、可能なら1年以上の保管が望ましいとされる
- 改正個人情報保護法:漏えい時の遡及調査・本人通知に必要な範囲でログ保持が事実上必要
▶ 関連記事:改正個人情報保護法とサイバーセキュリティ対策 ~漏えい時72時間報告の実務対応~
「6か月」という基準はどこから来たのか
「ログ保持は最低6か月」という基準は、特定の法律にズバリ書かれているわけではありません。次のような複数の要素が組み合わさって、事実上の基準として定着しています。
- 攻撃の潜伏期間:情報窃取型の攻撃では、侵入から発覚まで数か月~半年程度かかる事例が多数報告されている
- PCI DSS の12か月要件:クレジット情報を扱わない企業でも「同等の水準を目指す」基準として参照される
- 個人情報漏えい時の遡及調査:72時間の速報→30日の確報という流れで、半年以上前の侵入を辿る必要が出ることがある
- サプライチェーン契約:取引先から「ログを6か月以上保管していること」を求められるケースが増加
つまり、「法律で決まっているわけではないが、現実のインシデント調査・取引先要求に応えるための最低ライン」として6か月が広く採用されているのです。
ただし、業種・規模・取扱情報によっては 1年以上が望ましいことも多く、「6か月で十分」と決めつけるのは早計です。
主要セキュリティ製品のデフォルトログ保持期間
ここからが本記事の核心です。多くのセキュリティ製品は、デフォルトでは6か月どころか1か月にも満たないログ保持期間しか持っていません。表は本記事掲載時点(2026年)のおおよその目安です。実際の保持期間はプラン・SKU・契約時期・リージョンにより異なるため、必ず契約時にベンダーへ確認してください。
EDR・XDR製品
| 製品 | デフォルト保持期間(目安) | 延長オプション |
|---|---|---|
| CrowdStrike Falcon | 検知データ 90日/詳細イベント(プロセス・通信) 7日(Standard) | Falcon Insight XDR、Falcon Long Term Repository などのアドオンで 30日/90日/180日/1年 等に延長可 |
| SentinelOne Singularity | 標準 14日(Threat & Activity Logs) | Singularity Data Lake への取り込みで 30日/90日/180日/365日 から選択 |
| Sophos Central / XDR | エンドポイントイベント 90日/XDR データレイク 30日 | XDR / MDR ライセンスで Data Lake 保持を 1年 まで拡張可能 |
| Microsoft Defender for Endpoint | デバイスタイムライン 30日(Advanced Hunting も30日) | Defender XDR(旧 M365D) や Microsoft Sentinel へ転送して長期保管 |
| Trend Vision One | Workbench/Observed Attack Techniques 90日、Search データ 30日 | 追加のデータレイクオプションで 180日/1年 へ拡張 |
※ 各製品のドキュメント記載に基づくおおよその目安。プラン・SKU・契約時期により実際の値は変動します。
SIEM・データレイク
| サービス | 標準保持 | 長期保管 |
|---|---|---|
| Microsoft Sentinel | Analytics Logs 90日まで追加料金なし | Long-term retention で最大 12年。Basic Logs / Archive Tier で安価に保管 |
| Splunk Cloud | 契約のインデックス保持期間に従う(90日/1年等の選択) | SmartStore でS3ベースの長期保管が可能 |
| Sumo Logic / Datadog | プランごとに 30日/90日/1年 等 | アーカイブストレージで数年単位の保管 |
SaaS(クラウドアプリ)の監査ログ
| サービス | 監査ログ保持期間 | 備考 |
|---|---|---|
| Microsoft 365(Purview Audit Standard) | Business Premium / E3 で 180日 | E5 / Audit Premium で 1年、有償アドオンで最大 10年 |
| Google Workspace | 主要監査ログ 6か月 程度(イベント種別による) | Enterprise プランで BigQuery 連携→長期保管が可能 |
| AWS CloudTrail | マネジメントイベント履歴 90日(コンソール) | 証跡をS3に保存すれば保持期間は無制限(コスト次第) |
| Salesforce | セットアップ監査証跡 180日 | Event Monitoring(Shield アドオン)で 1年 以上 |
※ 各サービスの公式ドキュメントに基づくおおよその目安です。最新の値は契約時に必ずご確認ください。
「オプションがないと6か月も保持されない」という落とし穴
上の表からわかる通り、EDR/XDR の詳細イベントログは7日~30日がデフォルトという製品が多く、追加コストなしで6か月の保持を実現できる製品はむしろ少数派です。
特に気をつけたい3つの落とし穴を挙げます。
落とし穴① 「90日保持」と書いてあっても、検索できるのは7日だけ
ベンダーの製品ページに「90日間ログを保持」と書かれていても、「すぐに検索・調査できるのは直近7日分のみ。それ以前は復元処理が必要」というケースがあります。インシデント発生時に「30日前のログを今すぐ調査したい」と思ったときに、復元に数日かかると初動対応に間に合いません。
PCI DSS 4.0 が 「直近3か月はオンラインで即時アクセス可能」と明記しているのも、この点を意識した要件です。
落とし穴② 「ライセンスに含まれる」が SKU により違う
同じ製品名でも、Standard / Advanced / Enterprise / MDR などの SKU によって標準保持期間が大きく違います。たとえば EDR を導入する際、「Standard」プランで契約したら7日しかログが残らず、「Advanced」だと90日、「+MDR」で1年、というように差が出ます。
営業提案の見積もりに「ログ保持」の項目が明示されていないケースも多いので、必ず以下を確認してください。
- このプランでログは何日間保持されるか
- その期間のうち、即時検索可能(ホット)なのは何日分か
- 延長するアドオンの価格と保持期間
落とし穴③ 製品を解約/ライセンスをダウングレードしたらログも消える
クラウド型のセキュリティ製品では、解約・ライセンス停止と同時にログも削除される仕様が一般的です。「とりあえず別製品に乗り換えるか…」とライセンスを止めると、過去半年分のログが見られなくなってしまいます。
乗り換え時には、解約前にログのエクスポート(CSV/JSON出力)を完了させてから停止する手順が必須です。
▶ 関連記事:サイバー攻撃を受けたらまず何をすべき?初動対応チェックリスト
自社に必要なログ保持期間の決め方
「全社で一律1年保管」と決めればシンプルですが、コストが膨らみます。ログの種類・重要度ごとに保持期間を設計するのが現実的です。
ステップ1:ログを3つの層に分類する
- クリティカル(最低1年、できれば3年):認証ログ、特権操作、個人情報アクセス、ファイアウォール/VPN接続、メール送受信、クラウドアプリの監査ログ
- 標準(最低6か月):EDR検知・プロセス起動・通信、DNSクエリ、Webプロキシ、サーバアクセスログ
- 補助(30〜90日):デバッグログ、パフォーマンス計測、ヘルスチェック
ステップ2:ホット/コールドを使い分ける
- ホット保管(即時検索可能):直近3か月分。インシデント発生時にすぐクエリを投げられる状態
- コールド保管(アーカイブ):それ以降は安価なオブジェクトストレージへ移動。検索には復元工程が必要だが、容量単価は1/10~1/100
ステップ3:規制・契約要件を確認する
業種別の主な要件は次の通りです。
- クレジットカード取扱事業者:PCI DSS 4.0 で12か月(うち3か月オンライン)
- 医療機関:医療情報システムガイドライン(厚労省)で少なくとも5年程度の保管が推奨されるログあり
- 金融機関:FISC 安全対策基準で長期保管が要求される項目あり
- 個人情報を大量に扱う事業者:漏えい時の遡及調査に耐える期間(実務上は1年以上が望ましい)
- 大企業の取引先:取引基本契約で「ログを●年保管すること」を求められるケースが増加
ステップ4:契約前に必ず確認するチェックリスト
- このプランで取得できるログは何種類あるか(認証・プロセス・通信・ファイル操作 等)
- それぞれの保持期間(日数)は何か
- そのうち即時検索可能なのは何日分か
- 延長アドオンの単価とSKU
- 外部SIEM/データレイクへのログ送信に対応しているか(CEF・Syslog・APIなど)
- 解約時のログエクスポート手順
まとめ:「6か月」は最低ライン。デフォルトで足りない製品が多い前提で設計しよう
ログ保持期間「6か月」は、法律で決まった数字ではないものの、インシデントの遡及調査・取引先要求・各種ガイドラインを総合した 現実的な最低ラインです。可能であれば1年以上を目標としたいところです。
ただし注意点として:
- 多くのEDR/XDRは デフォルト7日〜30日しかログを保持しない
- 「90日保持」と書いてあっても、即時検索できるのは数日だけというケースがある
- SKU・プランによって保持期間が大きく異なる
- 解約時にログがそのまま消える仕様の製品が多い
これらを踏まえると、「製品を選ぶときは、保持期間と延長オプションを必ず見積もりに含める」ことが、いざというときに調査できる体制づくりの第一歩です。
c-compe.comでは、本記事で取り上げた CrowdStrike Falcon、SentinelOne、Sophos、Microsoft Defender、Trend Vision One といった主要EDR/XDR製品について、ログ保持期間・延長オプション・SIEM連携を含めた複数ベンダーでの比較・お見積もりが可能です。「保持期間オプション込みでいくらになるか知りたい」「自社の業種に必要な期間を相談したい」など、具体的なご相談はお気軽にお問い合わせください。