基本中の基本、時刻動機は本当にしていないと後でつらいよねぇ・・・

自社のログ取得体制を構築する上では，（1）不正なアクセスから守る，（2）時刻を合わせる，（3）保存期間を決める――の3つに注意したい（図1）。

（1）が重要なのは，ログが削除されたり改ざんされたりしたら意味をなさなくなってしまうからだ。特にフォレンジック製品は，ネットワーク上の通信を記録しているので，外部に記録が漏れただけでもセキュリティ上の問題になる。ずさんな管理は逆効果になるので注意したい。
（2）の時刻は，ログを取得するサーバーごとに時刻がバラバラになっていると，何か問題が起きたときにログの突き合わせが大変になる。また「時刻が正確でないと，ログの信用度が薄れる。ログそのものを否定されることにもなりかねない」（ラック JSOC事業本部 取締役本部長西本逸郎氏）。この問題に関しては，NTP（Network Time Protocol）と呼ぶプロトコルを使ってサーバーの時刻を合わせるのが一般的である。GMOメディアアンドソリューションズやエルゴ・ブレインズでは社内にNTPサーバーを立ち上げ，そのサーバーと他のサーバーが同期をとるようにしている。社内のNTPサーバーはインターネット上のNTPサーバーと同期をとる。
保存期間に目安はない
（3）の保存期間は，闇雲にとっておけばいいというものでもない。規模が大きくなればなるほどログが大量になり，保存が困難になる。しかし，現状では「いつまで残せばよいかという基準のようなものは見当たらない」（アルファシステムズの岡田氏）。ジャパネットたかたの事件のように，6年以上前の情報漏えいが発覚したという例もある。今回の取材結果でも企業によって保存期間がまちまちだった。