top of page
検索

【クラウド法務】ログ保持期間・保全(リーガルホールド)でトラブルになりやすい3つのポイントSIEM/Microsoft Sentinel/M365監査ログを「残す」だけでなく“証拠として守る”ために、契約で先に整理すべき責任範囲

導入:ログは集約できた。でも「何年残す?揉めたら保全できる?」が誰も答えられない

クラウド環境のログは、Entra ID、Azure、M365、EDR、ネットワーク機器…と発生源が多く、SIEM(Microsoft Sentinel など)に集約して可視化するところまでは、技術的に進めやすくなっています。ただ、全国の情シス・セキュリティ担当の方から相談を受けていると、次の“詰まり”が非常によく起きます。

  • 「監査で“ログを○年保存”と言われたが、実際は保持期間が短く消えている

  • 「取引先事故や不正調査で“証跡を保全して”と言われたが、リーガルホールド(保全)手順がなく上書き・削除が止められない

  • 「運用委託先のSIEM側にログがあり、提出・移管・削除の権限が曖昧で、社内説明が苦しい」

本記事では、**「ログ保持期間・保全(リーガルホールド)× クラウド法務」**という視点から、全国の案件で見えてきた落とし穴と、実務で使える整理方法をまとめます。

1. ログ保持期間と保全は「技術の事実」が前提になる

まずは「現場で実際にどうなっているか」を揃えます。多くの企業で、ログの全体像はざっくり次の形です。

1-1. よくある構成イメージ(テキスト簡易アーキテクチャ)

  • 発生源

    • Entra ID:サインイン/監査/PIM昇格・ロール変更

    • Azure:Activity Log、各リソースの診断ログ(Key Vault / Storage / SQL / NSG / WAF 等)

    • M365:監査ログ(Purview)、SharePoint/OneDrive/Exchange/Teams の操作痕跡

    • EDR/NW:Defenderアラート、FW/WAF/Proxy/DNSログ

  • 集約先

    • Sentinel(= Log Analytics)に集約、または外部SIEMへ転送

  • 運用(自社 or 委託先)

    • 監視・一次判定・エスカレーション・月次レポート・インシデント報告

ここで重要なのは、ログには「デフォルトで消えるもの」が普通に混ざっている点です。例えば AzureのActivity Log は Azure 側で 90日保持された後に削除されるため、長期保持が必要なら診断設定で別の保存先へ転送する設計が必要になります。 Microsoft Learn

また、Sentinel の基盤である Log Analytics には、データが 分析用(近リアルタイム) と 長期保持(低コスト) のように状態が分かれる設計があり、保持期間・コスト・検索方法が変わります。 Microsoft Learn+1

そして「保全(リーガルホールド)」という観点では、**“消さない”のではなく、“消せない状態にする”**という技術が必要になることがあります。代表例が Azure Blob Storage のイミュータブル(WORM)機能で、**time-based retention(期間固定)と legal hold(解除するまで保持)**といったポリシーで、一定条件下では変更・削除を防げる設計です。 Microsoft Learn+1

ここまでは技術の話。ここからが法務で、「誰が・何年・どの条件で・どう保全するか」を契約と手順に落とすフェーズです。

2. ログ保持期間・リーガルホールドで全国的に多い“法務の地雷”3選

① 保持期間が「規程・監査・契約」と「実際の設定」でズレている

技術チームは「運用上これくらいあれば十分」と考えがちです。一方、監査・親会社・取引先は「説明責任として○年分」を求めることが多く、ここが噛み合いません。

  • 技術的にはOK:ログは取れている、今月のインシデントは追える

  • 法務・監査的にはNG:数か月〜年単位で遡れず、監査・事故調査・紛争対応で詰む

② “保全(リーガルホールド)”のトリガーと手順がなく、必要な瞬間に消える

不正・事故・紛争のときに問題になるのは「ログが存在したか」よりも、**“保全(上書き停止・削除停止)を誰がいつ判断して、どの範囲を凍結したか”**です。

  • 技術的にはOK:通常運用の保持はできている

  • 法務的にはNG:トラブルが起きてから「保全しよう」としても、ログがローテーションで消える/委託先の判断待ちになる/証拠能力の説明ができない

③ 委託先・海外SOC・SIEM基盤が絡み「提出・移管・削除・証明」で揉める

運用委託やMSSP利用では、ログが委託先側のSIEMに集約されることがあります。そのとき “ログは誰のものか/保全依頼に従う義務があるか/解約時に移管できるか”が曖昧だと、

  • 監査で「証跡提出して」と言われても出せない

  • 紛争で「該当期間を保全して」と言われても止められない

  • 委託先変更でログを持ち出せずロックインする

という形で、技術とは別のところで炎上します。

3. ログ保持期間・保全(リーガルホールド)を崩さないための整理フレーム3つ

技術構成を大きく変える前に、最低限この3つを紙に落としておくと、ベンダー調整・社内説明・条項作りが一気に楽になります。

① 「ログ保持期間マトリクス」を1枚で作る

最低限、次をデータ種別ごとに埋めます。

  • どのログか(Entra / Azure / M365 / EDR / NW / SIEM相関結果 など)

  • どこに保管されるか(自社テナント/委託先SIEM/ストレージ/データレイク)

  • 何年(何日)保持するか(監査・規程・取引先要件と整合)

  • 誰が保持設定の責任者か(自社/委託先/クラウド事業者)

  • 監査・事故調査で「提出できる形式」は何か(CSV/JSON、タイムゾーン、項目)

これがないと、保持期間は“気分”になり、監査・事故対応のたびに揉めます。

② リーガルホールドの「発動条件・凍結範囲・解除条件」を手順化する

リーガルホールドは“法律用語”というより、意思決定と証跡の運用です。

  • 発動条件(例:不正アクセス疑い、取引先からの事故照会、内部通報、訴訟予告 等)

  • 発動権限(誰が判断するか:情シス?セキュリティ?法務?経営?)

  • 凍結範囲(どのシステム/どの期間/どのログ種別まで止めるか)

  • 技術手段(削除権限の停止、エクスポート、イミュータブル化、保全領域へ隔離 など)

  • 解除条件(いつ解除できるか、解除の承認、解除記録)

「保全した/してない」を後から説明できる状態にするのがゴールです。

③ 契約条項で“保持・保全・提出・出口”を縛る

運用委託が絡むなら、口頭運用では守れません。条項で固定します。

  • 保持期間(最低○年、延長要請の扱い)

  • 保全義務(発注者の保全要請があった場合の削除停止・上書き停止)

  • 提出義務(監査・取引先照会・インシデント時の提出期限と形式)

  • 再委託・海外SOC(同等義務、監督責任、国外アクセスの条件)

  • 契約終了時(ログ移管・削除・削除証明、移管費用・期限)

“ログを取ってます”よりも、**“必要なときに保全でき、提出でき、解約時に持ち出せる”**が契約の勝ち筋です。

4. ケーススタディ:製造業A社(売上800億、拠点6カ国)の場合

実際に当事務所でご相談を受けた事例の一つをご紹介します(業種等は匿名化しています)。

  • 業種:製造業

  • 売上規模:約800億円

  • 拠点:日本+欧州+アジア(6カ国)

  • テーマ:Sentinel+運用委託体制で、ログ保持期間とリーガルホールドを“監査で通る形”に作り直す

課題の整理

  • ログは集約されているが、保持期間がバラバラで「何年残るか」が説明できない

  • 監査部門から「重要システムの証跡を○年」と求められ、現状との差分が発覚

  • 事故・紛争時の保全手順がなく、委託先に依存していた

当事務所の支援内容(抜粋)

  • ログ保持期間マトリクスの作成(ログ種別×保管場所×保持年数×責任者)

  • 保全(リーガルホールド)手順の整備

    • 発動条件、凍結範囲、保全依頼テンプレ、解除ルール、証跡管理

  • 運用委託契約の条項整理

    • 保持・保全・提出期限・再委託・契約終了時の移管/削除証明

結果として

  • 監査・親会社・取引先への説明が「技術+契約+手順」で一貫し、問い合わせ対応が安定

  • “情シスだけが不安”な状態から、組織として保全判断できる状態へ移行

  • 委託先変更も視野に入れられる(出口設計ができた)ようになった


5. 今すぐ確認できるチェックリスト

□ ログ種別ごとに「どこに」「何年」保持されるか、1枚で説明できる□ Azure/M365/SIEMの“デフォルトで消えるログ”を前提に、長期保持の設計がある□ 保全(リーガルホールド)の発動条件・承認者・凍結範囲・解除条件が文章化されている□ 保全要請が来たとき、削除停止・上書き停止・エクスポートが実務的に回る□ 委託先が絡む場合、保持・保全・提出期限が契約条項になっている□ 再委託・海外SOCがある場合、同等義務・監督責任・国外アクセス条件が縛れている□ 契約終了時にログ移管・削除・削除証明が取れる設計になっている□ 監査・取引先照会に「何を」「いつまでに」「どの形式で」出すかが決まっている

「全部YES」と言える企業は、全国的に見てもまだ多くありません。


6. 全国からのご相談について

山崎行政書士事務所では、**Azure / Entra ID / M365 / Sentinel 等の技術構成と、ログ保持期間・保全(リーガルホールド)・委託契約・監査対応をセットで整理する『クラウド法務支援』**を行っています。

  • 監査・親会社・取引先から「ログを○年」「証跡を保全」と言われ、整理したい

  • SIEM運用委託の契約に、**保持・保全・提出・移管(出口)**が落ちていない

  • “技術はできているのに説明できない”状態を脱却したい

といったお悩みがあれば、**オンライン(全国対応)**にて初回のご相談を承っております。

👉 ご相談フォームはこちら

👉 お問い合わせの際に、**「ログ保持期間・リーガルホールド条項の記事を見た」**と書いていただけるとスムーズです。


※本記事は一般的な情報提供であり、個別案件の法的助言ではありません。実際の条項設計は、業界要件・監査基準・体制・データの所在(自社/委託先/海外)を踏まえて個別に整理することをおすすめします。

 
 
 

コメント

Instagram​​

x

note

You Tube

info@shizuoka-yamazaki-jimusho.com

Microsoft、Azure、Microsoft 365、Entra は米国 Microsoft Corporation の商標または登録商標です。
本ページは一般的な情報提供を目的とし、個別案件は状況に応じて整理手順が異なります。

※本ページに登場するイラストはイメージです。
Microsoft および Azure 公式キャラクターではありません。

Microsoft, Azure, and Microsoft 365 are trademarks of Microsoft Corporation.
We are an independent service provider.

​所在地:静岡市

©2024 山崎行政書士事務所。Wix.com で作成されました。

bottom of page