サボり看破から不正アクセス阻止までーログ監視の勘所

faa38b6a9230cfb7089912b6bb5773fc_s

ファイアウォールは、インターネットと企業ネットワークの境界に設置されるのが一般的です。今回はこのような構成のファイアウォールのログ監視データの活用について考えてみます。

インターネット利用状況を把握する

ファイアウォールは、その目的から、防衛面に注目されがちですが、ファイアウォールのログは、企業の内部からインターネット、インターネットから企業の内部へ、というすべての通信記録が残されているため、企業と外部とのあらゆる通信を映し出しています。

従って、ファイアウォールのログを特定の条件に沿って集計し、分析することで、その企業におけるインターネット利用状況を把握することができます。
そして、その分析結果をもとに、将来の需要予測や、情報システムの入替、インターネット回線の増強計画、メンテナンス時間帯の調整などに活用することができます。

ログ活用方法として、まず、ログデータから通信の方向を確かめ、外部からのアクセスと、内部からのアクセスを切り分けます。

外部からの不正アクセス

外部アドレスから発信されたもので、ログデータがDropまたはRejectになっているものに着目します。
これは、企業のログ監視のセキュリティポリシーに合致しない、許可されていない通信が外部から内部に試みられたことを示します。

不正アクセスログに見られる一般的な特徴を挙げておきます。

同じソースアドレスで、大量のDropまたはRejectのログが発生している。
短時間に同じソースアドレスから複数の宛先アドレスや宛先ポート(サービス)に対し、DropまたはRejectログが発生している。
夜間や休日など、通常アクセスの少ない時間帯に大量のアクセス記録が残っている。

不正アクセスと思われるもののうち、アクセプトされたものがあった場合は、アクセス先の機器のログを調査し、不正アクセスと判断される場合は、該当するソースアドレスからの通信を遮断するよう設定を変更しておきましょう。

内部からの不要な通信

ファイアウォールのログで、内部アドレス発信の通信に着目すると、企業内で起こった事象も確認することができます。
たとえば、内部アドレス発信で、休業日にWebアクセスやメールアクセスがあれば、会社の資産を使ってWebサーフィンなどを行っているという可能性も考えられます。
また、時間帯別に通信量を集計してみると、昼休みの時間帯にWebアクセスがあれば、プライベートな利用があると推測することができます。

ファイアウォールのログ設定を再考する

ログ監視データの活用で有用な分析結果を得るためには、ログ分析に必要なデータを、きちんと取得・保管しておく必要があります。

ログ分析のために考慮しておくべき点を挙げておきます。

必要なログだけを取得すること

取得するログの種類や量が多すぎると、本来必要なログが埋もれてしまいます。
取得する、しないのルールを設定し、必要なログだけを記録するようにします。

検索可能な状態にしておくこと

いざ分析作業を進めようと思ったときに、必要なログファイルをすぐに取り出せるようにファイアウォールのログを整理整とんして保存しておきましょう。
ログ容量や分析期間などを考慮しながら、適切なタイミングで、定期的に新しいログファイルを作成し、日付を記録して管理しておくことが重要です。

正確性の確保

ログ分析を行っても、元のログが不正確では、有用な情報が得られません。
正確なログを取るために必要なこととして、時刻の同期と、改ざん防止対策があります。

時刻の同期

ログは基本的に時系列的に記録されます。
従って、ファイアウォールで正確な時刻設定を行うとともに、ほかのアプリケーションログとの連携も見据えて、ファイアウォールだけでなく、ログの分析対象となるアプリケーションにも正確な時刻設定をしておきましょう。

改ざん防止対策

ログファイルへのアクセスは、取り扱いを許可された者のみにコントロールすること。
加えて、ファイアウォールの設定でアドレスの偽造防止機能は必ず有効にしておいてください。
偽造防止機能を無効にしてしまうと、ログを見たときに内部通信か外部通信かの区別がしにくくなるだけではなく、場合によってはファイアウォールを通過して内部にアクセスされてしまう危険性があるためです。

ファイアウォールのログデータには、外部からのアクセスデータも内部からのアクセスデータも記録されています。
不正アクセスのログ監視だけでなく、内部からのアクセス分析など、自社のよりよいインターネット利用環境の構築のために有効活用していきましょう。