ネットワーク機器やコンピュータ・システムの動作記録であるログの重要性が高まっています。ログはただ記録するだけではなく,事故が起こった際の証拠としたりその原因を解明したりするために,きちんと管理し監査することが重要です。
セキュリティに関する事故への対処や犯罪捜査における証拠保全の重要性が高まっています。ISMS適合性評価制度*やプライバシーマーク制度*,情報セキュリティ監査制度*などが整備され,企業はログを一定期間以上保存することが求められるようになってきました。
使用目的も種類も異なるログが多数ある
一口にログと言っても,その種類や使用目的は様々です。膨大で多種多様なログを取得・保存するためには,ログ管理ポリシーがなければなりません。つまり「どこで取得されるどのような種類のログを,どのような形態でどれだけの期間保存するか」を明確にします(図1[拡大表示])。
ログを取得する対象で見ると,ネットワーク機器やサーバー・システムの稼働状況を表す「システム・ログ」と,情報資産へのアクセス状況や館内への入退出記録,従業員の操作履歴などを表す「アクセス・ログ」に分けられます。一方,目的別に見ると監視目的と監査目的に大別できます。監視目的で使うログは,外部ネットワークからの攻撃や不正侵入に備えたり,データベースへの権限外アクセスなどを発見するために使います。監査目的で使うログは,自社の情報セキュリティ管理が適切に行われているかどうか,不審なアクセスや操作をした痕跡がないかどうかを証明するために利用します。
またログは,「セキュリティ事故またはその予兆がないか」,「事故が起こった場合は適切に対処したか」など,自社のセキュリティ管理状況を報告する際にも役立ちます。
最近は,クライアント・パソコンのログ取得・管理も注目されています(図2[拡大表示])。社員のモラルの低さやコンプライアンス(法令順守)意識の欠如・無知が原因で,過失による事故を起こしてしまうリスクに備える必要があるからです。
ログ管理ポリシーをはっきりしておく
ログを運用する上で重要なことは,保存対象のログに「いつ,だれが,どこからアクセスしてきて,何をして,その後どこにアクセスしたか」の情報が含まれていることです。これらをきちんと把握したうえで,ログ管理ポリシーに含めます。
ログ管理ポリシーに基づいてログを管理するための解析ツールもあります。ログの収集・解析・レポート作成などの機能を持つ製品が多く,管理者自らが分析に要する時間は大幅に短縮できるでしょう。しかしログ解析ツールは,ファイアウォールのアクセス解析やサーバーのイベント解析,クライアント・パソコンのセキュリティ管理状況など,特定の用途に限定されたものがほとんどです。現段階では,すべてのログを一元的に管理することは難しいと言えます。
「保存する」から「保全する」の考え方へ
企業の情報漏えい事件が後を絶たない中,ログの証拠性がより重要になってきています。しかし多大な費用を要したり,技術的に高度だったり,適切な管理者がいないなどの要因で,ログの管理はなかなか進んでいないのが現状です。取れるログを,とりあえずサーバーやバックアップ・テープに残しておくだけの運用も散見されます。
必要とするログのありかや,改ざんされていないことが分からないようでは,その有効性は極めて低いものとなります。犯罪が起こった際の法的証拠性を明確化するフォレンジック*では,不正行為者や犯人追及の最も有力な手がかりがログの情報です。ログの解析によって,事故の原因の特定や予兆の発見・除去が可能になります。証拠性を確保するために,取得したログが改ざんされないようにする仕組みや,改ざんを検知できる仕組みを導入することも考慮すべきでしょう。
| 寺田 洋 NRIセキュアテクノロジーズ 代表取締役社長兼情報セキュリティ事業部長 小山 秀樹 NRIセキュアテクノロジーズ 事業開発部 上級セキュリティエンジニア |
