情報漏えい防止対策として,重要ファイルやデータベースへのアクセス履歴を取ることは有効である。特に権限者がを対象にした情報漏えい対策として,情報にアクセスしたことを履歴として記録すれば,不正持ち出しへのけん制になるという意味である。権限を持たないユーザーによるアクセス失敗の履歴を監視して,不正アクセスが試みられていることを検知することも可能だ。

 Windowsは,ファイルに対するアクセス履歴を取る監査ログ機能を備えているが,その利用には注意が必要である。とりあえず取れるものはすべて取っておこうといった発想では失敗する。システムの性能劣化や運用が追い付かない状態を作るだけである。

 例えばWindowsには,ファイルの表示を速めたり,プレビューしたりするため,フォルダ情報を先読みする機能がある。監査ログ機能を初期設定のまま有効にすると,このプレビューによる読み出しまで記録してしまうことは有名である(図1)。アクセス権限を持たないユーザーがフォルダを1度開くと,何度もファイルにアクセスしようとして失敗し続けたかのような監査ログが残る。これでは不正アクセスなのかどうか判別できない。

図1●監査ログの例
[画像のクリックで拡大表示]

 図2に示すように,監査ログ機能で取得するログの種類は,設定によって選択できる。どのようなファイルに何をした場合にログを残すのが有効かをしっかり検討したうえで正しく設定したい。無駄に多いログを保管して分析することはリソースの無駄であり,情報漏えいの検知能力を低減させるリスクがある。

図2●監査ログの設定画面
[画像のクリックで拡大表示]
木幡 康弘(こはた やすひろ)
NTTデータ ソリューション&テクノロジーカンパニー
基盤システム事業本部MS開発部 部長
シニアITスペシャリスト(セキュリティ)
1990年,NTTデータ通信(現NTTデータ)に入社。開発本部にてUNIXやTCP/IPに関する技術開発に従事し,以降,ネットワーク技術,運用管理技術,QoS関連技術の開発を経て,1999年,セキュリティ関連部署でセキュリティ・ビジネスを立ち上げた。2002年,NTTデータセキュリティに出向。セキュリティ診断,セキュリティ監視,セキュリティ対策などを手掛ける。2006年に出向復帰以降,大規模イントラネットの構築などに取り組んでいる。