誌上セミナー「拡大を続けるログ砂漠」：セキュリティ、そろそろ本音で語らないか（10）（2/3 ページ）

» 2009年09月30日 10時00分公開

「ログへの期待」に応えるためにすべきこと

　さて、企業に蓄積されているログですが、何の役に立つことが期待されているのでしょうか。例えば、以下のような期待を持たれている方が多いと思います。

内部犯行を未然に防ぐ
内部犯行があった場合に、犯人の特定や規模の把握ができる
インターネットに公開しているサーバへの攻撃と被害の把握ができる

　残念ながら、「なんとなく取っているログ」ではこれらを実現することは困難でしょう。なぜなら、コンピュータのログというものは、本来は「エラーや故障を記録」するためにあるからです。

　内部犯行の調査の場合には、失敗のログはほとんど役に立たないでしょう。例えば、何回もログインに失敗しているログ、というのは一見怪しそうですが、ほとんどはパスワードを忘れた社員が、やみくもにログインを繰り返しているだけです。内部犯行は、自分のアカウントもしくは、上司や同僚のパスワードを使います。その場合には、事前に何かの方法でパスワードを調べておくでしょう。付せん紙で貼ってあるものをのぞき見する、秘書から聞き出す、周知の事実でみんなが知っている、などの方法が取られているはずです。

　このようにパスワードを知っている場合のログインは、「なんとなく取っているログ」には残されていないことが多いのです。ログインだけはログに残っていた場合でも、どんな操作をしたかまではログには残されていないことが多いでしょう。

　インターネットに公開しているサーバへの攻撃は、脆弱性を突いた攻撃が多く見られます。その場合には、脆弱性を攻撃されたサーバアプリケーション自身ではログを書き出すことができません。また、インターネットの場合には、そのアクセス数の多さから「成功」のログではなく「エラー」などがログの対象です。

　つまり、なんとなく取っているログでは、ユーザーが期待しているような「何でも分かるログ」は取られていません。このように、役に立たないのに膨大に取り続けられている目的のないログを私は「ログ砂漠」と呼んでいます。

　誰も見ていないログ、どんなものか分からないがバックアップだけはとっているログ、セキュリティシステムから書き出される膨大なログ……これらの多くは「いざというとき」には役に立たない可能性が高いのです。

砂漠化しないログの取り方

　内部犯行の特定に必要なログとはどんなログでしょうか。主に必要とされるログは以下のようなものです。

コンピュータでのファイル操作
外部記憶媒体、共有ファイルの利用
ファイルの外部への送信
印刷、画面のハードコピー
キーストローク

　しかし、これだけでは内部犯行の調査は不十分です。なぜならコンピュータが犯罪を犯しているのではなく、その操作をしている「人間」が犯人であるからです。従って、以下のログも欠かせません。

入退館、入退室の記録
監視カメラによる画像

　さらに、インテリジェンスなキャビネットでは、RFIDを活用したノートPCなどの管理ができるものもあり、それらのログも活用できるでしょう。

　また、内部ネットワークにおいては、ウイルス感染も重大な情報漏えいの脅威です。特にボットは社内で次々と感染し、インターネットから操作ができてしまうので注意が必要です。社内情報が漏れたからといって、犯人が社員とは限りません。このようなボットが原因である場合もあります。

　最近は、このボットによる情報漏えいの事例が増えてきました。これらのボットへの感染などを監視したいのであれば、以下のようなログが必要でしょう。

内部ネットワークからインターネットへの接続記録
ブラウザ以外のアプリケーションによるインターネット接続
サーバへの、および、サーバでのログイン記録
ウイルス対策ソフトの検知記録

　例えば、「ウイルス対策ソフトの検疫で感染ファイルを隔離した」というログであっても、リアルタイムに感染を検知した場合と、感染してから時間が経過してパターン更新の際に検知している場合があるので、それらも分かるようになっていないと、ボット対策はできません。

　では、インターネットからの攻撃に対する公開サーバに必要なログはどんなものでしょうか。以下に挙げるものが主なものです。

最新の攻撃を含む検知記録
攻撃の前の調査行動
攻撃の成功と盗まれた情報の詳細

　これらは攻撃されたサーバ自身では記録することができない場合があります。従って、IDSなどのセキュリティ機器や、データベース側でのログの取得が欠かせません。しかしながら、これらの複数の機器のログを適切に取得、保管しているケースはほとんど見たことがありません。

　なぜログが適切に取得されていないかというと、「そんな暇があれば、『防ぐこと』に注力する方が大事だ」という考えがあるからではないでしょうか。日本人の基本的な考えとして「事件はあってはならない」というものがあり、「事件があった場合に備えて」ということに対してコストをかけにくい、という事情があると私は考えています。

　さらに、各種法律およびガイドラインなどにおいて、具体的なログの項目に言及されていないことも一因であるかと思います。日本人の場合「これとこれをやっておけばよい」と指示されるとやりやすいという国民性も働くのでしょう。

　しかし、ログは自分自身をコンピュータ犯罪や情報漏えい事故から守るためにあるので、もう少し自分自身で考える、ということをしてもよいのではないでしょうか。