目次
ログ―捨てるなんてもったいない
情報漏えい対策や内部統制の強化が叫ばれるようになり、ログ管理の重要性の認識が高まっています。
しかし、現実的にはログ監視データを取得・蓄積するだけで終わってしまい、まったく有効活用されていないこともあるようです。
これではせっかくの情報を捨てているのと同じであり、非常にもったいないと思います。
PCの操作ログからは、誰がどのファイルに対してどんな操作をしたのか、また、情報漏えい事故の際には、漏えいした情報の範囲を特定する手がかりが得られます。
ログ管理データの2つの使い方
ログ監視データにはさまざまな情報が詰まっています。
これを有効に活用するには、ログ管理の目的を明確にし、必要なログが取得できる環境を整えて、取得したログを分析することが必要です。
そして、そこから得られた情報は、セキュリティ対策やトラブルの原因究明に役立てることができます。
セキュリティ対策
顧客の個人情報や、会社の機密情報などの情報漏えいは、企業が抱えるリスクの1つです。
これを防止するには、PCの操作ログやネットワークの通信ログを取得し、定期的な分析を行い、社内のシステム利用状況を把握することが重要です。
会社がログ管理しているということを知らせることで、不正アクセスの抑止効果も期待できますし、逆に不正がないことを証明する材料にもなります。
トラブルの原因究明
システムが正常な状態にあるときは、どんなログがどれくらいの頻度で出てくるのか、大まかな傾向を把握することで、平常時とは異なる特異なログが見えてきます。
普段とは異なるこのようなログは、機器やネットワークのトラブルの予兆を察知したり、トラブル発生時の原因究明にも役立てることができます。
ログは単独の装置のものでも有効に活用することができますが、複数のシステムのログを組み合わせて読み解くことで、より詳細な情報を得ることができます。
有効活用できるログを取得するために、ログ取得の際に注意しなければならないポイントを5つ挙げておきます。
ログ取得、5つのポイント
関連するシステムの時刻を同期させる
ひも付けするキーの決定
完全性
保存
取得レベル
関連するシステムの時刻を同期させる
関連するシステムの時計にずれがあると、時系列でログを見たときに、正確な順番にならず、正確な分析が行えなくなる可能性が高くなります。
タイムサーバなどを利用し、各システムが常に正確な時刻になるように環境を整える必要があります。
ひも付けするキーの決定
関連するシステムのログを、何をキーにひも付けるかを考えます。
キーとなる情報として、IPアドレスを利用する場合は、固定で割り当てるようにしたほうがよいでしょう。
複数のシステムのログを横断的に分析する場合、IPアドレスが固定されていた方が集計や分析がやりやすくなります。
完全性
完全性とは、「情報が正確であることを保証すること」であり、セキュリティを目的としたログでは特に重要な要素です。
例えば、重要なサーバに管理者権限で不正アクセスされた場合、サーバ内の操作ログが、改ざんや削除される可能性がある状態では、ログの情報が正確である確証がなく、完全性に欠けます。
完全性を確保するためには、不正操作者がログを改ざんできないように、ログを別システムへ送信するなどの対策をしておく必要があります。
保存
ログ保存期間は、ガイドラインなどに明確に基準があれば、それに従います。
基準がない場合は、情報漏えい事故の例をみると、1年以上前の情報が漏えいしている場合も多く、年単位で保存するのが理想です。
また、ログを保存する媒体は、長期保存する場合は、編集不可能なDVD-Rなどのメディアに記録して保存するのがよいでしょう。これによって完全性も確保することができます。
取得レベル
ログの利用用途に応じて、どのようなログが必要かを検討し、不要なログは記録しないようにすることも重要です。
限られた記録容量を有効活用するには、「情報」レベルのログ監視データは捨てて、「警告」レベル以上のログのみを記録することなどを検討すべきです。
有効なログ監視を目指して
以上、見てきたように、ログ管理を適切に行うことで見えてくるものがたくさんあります。
システムなどの動作履歴として、何が起こったのか、どんな操作が行われたのかの確認。
情報漏えいなどの事故発生時には、その原因調査への活用。
また、システムの稼働状況を時系列で確認し、未来の障害の前兆をとらえることも可能です。
情報セキュリティへの投資は後回しにされがちですが、
情報漏えいが起きた場合の信用の失墜や顧客への補償などの損失を考えると利益を生む投資ととらえてログ管理に取り組みましょう。