自社のログ取得体制を構築する上では,(1)不正なアクセスから守る,(2)時刻を合わせる,(3)保存期間を決める――の3つに注意したい(図1)。
 |
| 図1●ログ取得の体制を構築する上での注意点
ログを削除/改ざんされないためのセキュリティ対策が必要となるほか,ログごとの時間がずれないように各サーバーの時刻を合わせる必要がある。重要度や監視頻度に応じてログの保存期間も決めておくようにしたい |
(1)が重要なのは,ログが削除されたり改ざんされたりしたら意味をなさなくなってしまうからだ。特にフォレンジック製品は,ネットワーク上の通信を記録しているので,外部に記録が漏れただけでもセキュリティ上の問題になる。ずさんな管理は逆効果になるので注意したい。
(2)の時刻は,ログを取得するサーバーごとに時刻がバラバラになっていると,何か問題が起きたときにログの突き合わせが大変になる。また「時刻が正確でないと,ログの信用度が薄れる。ログそのものを否定されることにもなりかねない」(ラック JSOC事業本部 取締役本部長 西本逸郎氏)。この問題に関しては,NTP(Network Time Protocol)と呼ぶプロトコルを使ってサーバーの時刻を合わせるのが一般的である。GMOメディアアンドソリューションズやエルゴ・ブレインズでは社内にNTPサーバーを立ち上げ,そのサーバーと他のサーバーが同期をとるようにしている。社内のNTPサーバーはインターネット上のNTPサーバーと同期をとる。
保存期間に目安はない
(3)の保存期間は,闇雲にとっておけばいいというものでもない。規模が大きくなればなるほどログが大量になり,保存が困難になる。しかし,現状では「いつまで残せばよいかという基準のようなものは見当たらない」(アルファシステムズの岡田氏)。ジャパネットたかたの事件のように,6年以上前の情報漏えいが発覚したという例もある。今回の取材結果でも企業によって保存期間がまちまちだった。
例えば,電話回線の顧客情報が約6000万件あるNTT東日本の場合,顧客情報へのアクセス・ログは2年間保存している。情報漏えい事件が起きたアッカ・ネットワークスやソフトバンクBBでは,その後の対策で顧客情報へのアクセス・ログを半永久的に残すようにした。GMOメディアアンドソリューションズの場合,「ログの量は(同社が提供している)サービス当たり,圧縮した状態で1日最大100Mバイト程度。四半期ごとにDVDに記録しており,少なくとも3年間はDVDを保管するようにしている」(システム本部 本部長 取締役 堀内敏明氏)。日本郵政公社は,専用端末に記録している操作ログは5日間のみだが,印刷した操作履歴に関しては1年間保存するようにしている。
結局,保存期間はログの重要性や監視頻度によって決めるしかない。ファイアウォールのログやサーバーのイベント・ログとは異なり,ここまで説明してきたログは“いざというときのために”保存しておくことを目的としたものが多い。短い期間で捨てるのであれば,日ごろから厳しくチェックしておくことが前提となる。
