監査ログ とは？

セキュリティ調査の基本的な問いに答えます。誰が、何を、どのリソースに対して、いつ、どこからしたか？ユーザーログイン、データアクセス、権限変更、APIコール、管理アクション、認証失敗の試みなどのイベントを記録します。セキュリティインシデントでは、監査ログはしばしば侵害の範囲と攻撃者のアクションを理解するための主要な証拠源です。

効果的な監査ログにはいくつかの特性が必要です。完全性（すべてのセキュリティ関連イベントが記録）、不変性（監査対象のアクターがログを変更または削除できない）、信頼できるソースからのタイムスタンプ、十分な詳細（アイデンティティ、アクション、対象リソース、結果を含む）、監視対象のシステムとは別の安全なストレージです。多くのコンプライアンスフレームワーク（SOC 2、HIPAA、PCI-DSS、GDPR）は特定の監査ログ要件を義務付けています。

監査ログの課題は、徹底性とプライバシーとストレージのバランスをとることです。ログが少なすぎるとフォレンジック能力にギャップが生じます。多すぎるとプライバシー上の懸念（特にGDPRのデータ最小化の原則）、膨大なストレージコスト、逆説的にノイズの中から関連するイベントを見つけにくくなります。組織はセキュリティ関連イベントを定義し、過剰な機密データを収集せずにこれらのイベントが記録されるようにする必要があります。

Vaulted における 監査ログ の使われ方

Vaultedのゼロナレッジアーキテクチャは、監査できる内容に意図的な制限を設けています。サーバーはシークレット作成のタイムスタンプ、ビュー数、有効期限イベントなどの運用メタデータをログに記録しますが、暗号化されたコンテンツや暗号化キーは決してログに記録しません。なぜならそれらを持っていないからです。このアプローチはデータ最小化の原則に沿っています。監査ログはシステムの健全性を監視して悪用パターンを検出するのに十分な情報をキャプチャしますが、ログ自体が侵害された場合に機密データを公開しかねない記録は作成しません。