OpenBSDでchflagsを用いたISO 27001準拠の不変ログ
2025-07-18
この記事では、OpenBSDの`chflags`コマンドと`sappnd`、`schg`フラグを使用して、ISO 27001のログ整合性要件を満たす不変ログを実現する方法を詳細に説明しています。ISO 27001は明示的に不変性を要求しませんが、ログ保護に関する規定は事実上それを必要としています。著者は`newsyslog` cronジョブを無効にし、ログアーカイブディレクトリを作成し、`chflags`を使用してログファイルに追記専用と不変フラグを設定することで、root権限が侵害された場合でもログの整合性を確保します。`/etc/rc.securelevel`スクリプトにより、起動時のログローテーションとフラグ管理が自動化され、堅牢で自動化されたログ管理ソリューションが提供されます。
開発
ログセキュリティ