SS1製品サイトセキュリティ対策におけるログの役割と活用例
セキュリティ事故などが発生したときには、その原因を調査しなければなりません。このときに役立つのが「ログ」です。しかし、事故が起きてから確認するのではなく、平常時から定期的に確認することで、事故が発生するリスクを低減できる可能性があります。
具体的に、どのように使われるのか、取得の考え方を解説します。
ログが持つ3つの役割
コンピュータを使っていると、さまざまなソフトウェアがログを出力しています。Webサーバーのアクセスログ、メールサーバーの送信ログ、データベースサーバーのログなど、サーバーが記録するログもありますし、ネットワーク機器やパソコンなどでも、さまざまな通信や操作のたびにログを記録しています。
これらのログの役割として、「不正抑止」「予兆検知」「事後調査」の3つが挙げられます。まずはこれらの役割の特徴について、詳しく解説します。
1. 不正抑止
情報漏洩の原因として、外部からの不正アクセスなどもありますが、従業員による紛失・置き忘れ、誤操作、管理ミスなども多いものです。そして、それに加えて内部不正や意図的な持ち出しなども挙げられます。
不正行為をしても見つからないという状況が続いたり、「他の人も持ち出している」というように情報の持ち出しを正当化したりする状況が発生すると、このような持ち出しを防ぐのは難しくなります。
重要なデータへのアクセス権限を持つ従業員が意図的に情報を持ち出すことを防ぐことは難しいものですが、ログはいつ、誰が、どのような操作をしたのかを記録しています。つまり、ログを見ることで、その操作の内容を調査できます。このログを監視していることを組織内に通知しておくと、内部不正や意図的な持ち出しを抑止することに役立ちます。
異常なシステム活動が発生した場合には、管理者に対して警告を発するように設定することもできますし、ログの存在自体が不正行為の抑止力となります。
2. 予兆検知
ログを取得していると、システムが正常に動作しているときの状況を把握できます。これによって、パフォーマンスが低下したり、システムになんらかの問題が発生したりしたときに、その問題の予兆を検知できます。この検知にも、ログが重要な役割を果たします。
システムエラーや不当なアクセス権限の要求、急激なアクセス数の増加などが検出された場合、外部から攻撃を受けている可能性があります。ただし、攻撃が成功しているとは限りません。
ログを監視している中で、システムが出力する内容に普段とは大きく異なる状況が発生したことに気づくことができれば、深刻な問題の発生を防げる可能性があります。
3. 事後調査
ログが多く使われるのが、問題が発生したあとの調査と解析です。いつ、何が起こったのか、誰がどのような操作をしたことによって問題を引き起こしたのかを特定するために、ログを調査することは多いものです。
このとき、複数のシステムのログを組み合わせて調査することもあります。正確に調査するためには、複数のシステム間で時刻を同期しておくなど、調査のステップを意識してログを取得しておきます。
そして、システム障害やセキュリティ侵害などが発覚した場合には、その原因を追求し、再発を防止するための計画の作成に使われます。
ログ活用例①:不正操作があった場合の証跡管理
不正な操作が検出されたとき、そのログも合わせて改ざんされてしまうと記録していた意味がありません。ログは法的な証拠となることもあるため、その証跡管理について説明します。
1. ログの保全
外部からの不正アクセスや、内部からの不正な持ち出しなど、さまざまな操作についてはログが記録されているはずです。しかし、悪意を持っている場合には、そのログも削除したり改ざんしたりすることを考えられる可能性があります。
このため、単にログを保存するだけでは不十分で、ログを保全することについて検討しなければなりません。たとえば、バックアップを取得したり、ログ管理システムを導入したりする方法があります。
2. 外部専門家の依頼
ログの分析や証拠の管理が自社で難しい場合は、外部の専門家に依頼することも考えられます。たとえば、社内のIT担当者が専門知識を持っていない、業務が多忙である、偏見を持つ可能性がある場合などが挙げられます。
このような場合は、外部の専門家によって中立的な視点で高度な分析をおこなうことが考えられます。ログには企業秘密に関する情報が含まれる可能性があることを考慮し、ログの提供に関する秘密保持契約や、社外に持ち出すときのデータの暗号化など、秘密の保全について検討します。
3. 分析結果の報告
不正操作についての調査を実施する場合、その経過や結果を可能な限り早く報告します。社内でのログについては保全していても、社外のサーバーなどに保管されているログは、時間が経つと取得が難しくなることがあります。
たとえば外部のサーバーに対して何らかのデータを送信しているような場合には、そのサーバーの管理者にログの提出を要求できる可能性があります。時間が経ってしまうと、その記録が失われる可能性もあります。
ログ活用例②:マルウェア感染時の影響範囲調査
社内のコンピュータがマルウェアに感染したことが発覚した場合、その影響範囲を調べなければなりません。この影響範囲の調査に漏れがあると、さらなる感染の拡大や、より深刻な被害が発生する可能性があります。
この場合にもログが役立ちますが、その手順を考慮しなければなりません。
1. マルウェアの特定
まずはマルウェアの種類を特定します。セキュリティソフトを使用してスキャンした結果や、システムで発生している異常な動作を分析することもこのステップに含まれます。
マルウェアは種類や実行環境によって、その動作が異なるため、マルウェアを特定しないと分析することもできません。
2. システムの監視とログの分析
感染したシステムの動作を監視したり、ログを分析したりすることにより、マルウェアが及ぼした影響を調査します。複数のシステム間での異常な行動や変更などの履歴も含めて、マルウェアがどの部分を影響させたかを把握する作業が含まれます。
3. 影響範囲の特定
影響範囲の調査が完了したら、マルウェアによって遠隔で利用された可能性がある機器やデータを特定します。また、マルウェアが存在する可能性があるシステムを特定します。
これは、感染のさらなる広がりを防ぎ、既に侵害された情報を特定するために必要です。
4. 通知とエスカレーション
マルウェアに感染したと確認した場合、関係部署に通知する必要があります。適切な対策を迅速に実行し、感染を他の部分に広げるのを防ぐためには、専門知識と経験をもつ情報セキュリティの専門家などを含め、組織として対応します。
5. 再発防止策の実施
マルウェアを駆除しても、従来の環境でシステムを動作させ続けると、同じ攻撃によって再度感染してしまう可能性があります。このため、システムの更新や担当者の教育など、再発防止策を実施します。
まとめ
ログを出力する機能は多くの製品が備えていますが、トラブルが発生しない限りチェックしていない企業もあるでしょう。しかし、不正な持ち出しや予兆に気づくためにも、平常時からログを監視し、適切な対策を実施することが求められています。
取得したログを日ごろからきちんと活用したい場合は、「ログにしきい値を設け、しきい値を超過した場合に警告を出すよう設定する」「視覚的にわかりやすいレポートでログ情報を出力する」などの工夫が有効です。
ログ管理製品を利用する際は、こういった機能の活用も検討するようにしましょう。
●SS1クラウドのログ管理機能についてはこちら
増井 敏克氏(ますい としかつ)増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。
