1.ログ、取得していますか?保管していますか?チェックしていますか?分析していますか?
現在、ログの重要性が高まっており、組織の情報セキュリティについて記載された文章を見ると、必ずログの取り扱いについて記載されています。いくつかの例を以下に挙げます。
- 米国国立標準技術研究所(NIST)の「Cybersecurity Framework Version 1.1 (※1)」では、5つの機能に分類された1つの防御の中に「監査記録/ログ記録の対象が、ポリシーに従って決定され、文書化され、実装され、その記録をレビューされている。」とあり、ログ取得のポリシー策定から実装までが記載されています。また、検知の中にイベントの分析についても記載があります。
- 内閣サイバーセキュリティセンター(NISC)の「政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)(※2)」では、遵守事項として、「情報システムセキュリティ責任者は、情報システムにおいて、取得したログを定期的に点検または分析する機能を設け、悪意ある第三者等からの不正侵入、不正操作等の有無について点検または分析を実施すること。」とあり、ログの取得から分析まで実施することが求められています。
- 総務省の「国民のための情報セキュリティサイト(※3)」では、「情報管理担当者の情報セキュリティ対策」の技術的対策として、「ログの適切な取得と保管」とあり、ログの取得と保管の重要性と注意事項が記載されています。
このように、ログの取得・分析の重要性について記載されているドキュメントは多くあります。しかし、実際のシステム構築の際には、「要件に含まれていない」「要件が不明確で見積もれない」「見積もってみたが費用が高すぎる」等の理由で実装・運用されない場合や実装されているものの活用されていない場合があります。
そこで、ログ取得・分析の必要性について、身近な生活のログから考えてみたいと思います。
2.レシートや明細、取得していますか?保管していますか?チェックしていますか?分析していますか?
身近な生活のログ、ということで、日々発生するお金の支払いについて考えます。お金の支払いが発生した場合、いくつかのログが手元に残ります。例を以下に示します。
図1:お金の支払いのログの例
これらがお金の支払いに関するログになります。
次にお金の支払いに関するログの管理を考えます。どこまで管理するかの例を以下に示します。
図2:お金の管理方法の例
皆さまはどこまでお金のログの管理を実施していますでしょうか。
3.どこまでお金に関するログを管理するか
コンビニエンスストアにて現金で買い物する、通信販売の代金をクレジットカードで支払う等、ただ生活するだけであれば、レシートや明細のチェックをする必要はなく、保管すら不要です。しかし、その状態では、ある日突然、銀行から預金を下ろそうとしたら残高がなくなっている、クレジットカードの限度額を超えてしまった等のトラブルに巻き込まれる可能性があります。その時、預金通帳や支払明細が手元になければ、原因を調べることもできません。実はクレジットカードが不正利用されていた、貯金を誰かに勝手に引き出されていた、なんてことが起きているかもしれません。(実際には銀行やクレジットカード会社に記録が残っているため、あとからチェックすることも可能性です。)
もしくは、使っていないジムと英会話スクールと動画配信サービスの解約をうっかり忘れていて、1年以上会費を払い続けた結果、貯金がなくなったのかもしれません。この場合、明細を保管しておけば、何かおかしいと思った時に何が起きているか確認可能ですが、払ってしまったお金を取り戻すことはできません。
クレジットカードや銀行口座の明細のチェックを行うことで、不正利用以外にも、使っていないサービスの解約を忘れていたというような不要な出費に気づくことが可能となります。
さらに、家計簿をつけレシートと明細からの支払い状況を分析していれば、今月は外食が多く食費がかさんでいる、というような分析が可能となり、来月は食費をおさえるために自炊の回数を増やす、というような出費を減らすための対応も出来るようになります。支出を人単位に分析して、多く外食をしているのは家族のうちの誰かを調べ、その人のお小遣いを減らして支出を減らす、という方法もあります。
図3:お金の管理方法とその結果
4.どこまでシステムのログを管理するか
システムのログの管理も、お金の管理と同じです。
サーバーに置いてあった複数の重要なファイルがある日突然消えてしまった、という事象を例として考えます。
ログを取得していない場合、何が起きたのか原因の調査を行うことはできません。PCがマルウェアに感染して攻撃者がファイルを消してしまったのかもしれませんし、業務の妨害をねらった内部犯行かもしれません。
認証ログ・アクセスログ・操作ログ等を取得して保管していれば、そのログを確認することで、誰がいつファイルを消したかを特定することが可能となります。今回はログが保管されており、ログを調査した結果、別部署のAさんがファイルを消していた、と判明したとします。Aさんに確認したところ、誤操作で自分のパソコンにファイルを移動していた、と分かり、外部からの攻撃や内部不正ではないことが判明しました。
ところで、今回消えたファイルは、部署が異なるAさんがアクセスしてはいけないサーバーにあるファイルでした。もし、普段から誰がサーバーにアクセスしているかチェックしていれば、アクセスしてはいけないAさんがアクセスしていたことに気づくことができたかもしれません。気づくことができれば、Aさんのアクセス権を削除し、ファイルの誤削除を防げた可能性があります。
さらにログを詳細に分析し、1年以上使われていないファイルを洗い出し、削除してサーバーの容量を確保する、といった対応も可能となります。また、ユーザー単位にサーバーの利用状況を分析すれば、そのユーザーが何時から何時まで勤務していた、なぜか非勤務日にサーバーへアクセスしている、といったことも確認するということが可能となります。
図4:システムのログの管理方法とその結果
お金とログの管理方法の対比を以下の図に示します。
図5:お金のログとシステムのログの管理方法
5.まとめ
かなり長くなりましたが、身近な生活のログとしてお金の支払いを例に取り、ログ取得と分析の必要性について述べました。
ログについて、お金の管理と同様に、消えたり、減ったり、漏れたりしたら困る情報を扱っているシステムは、最低限、ログの取得と保管、チェックは必要となるのがお分かり頂けたと思います。
弊社ではログに関する運用の方針を記載するポリシーの策定から、実際にログを取得・分析するログ管理ソリューション(SIEM)の導入、さらにその先のユーザーごとにデータを分析する技術“UEBA”(※4)を活用した提案も可能です。ログでお困りの方はぜひ弊社までご相談下さい。
参考
(※1)日本語訳されたものがIPAから公開されています。
(※2)「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」
(※3)総務省「国民のための情報セキュリティサイト」
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html
(※4)あなたを守る最新のデータ分析技術“UEBA”