インターネットのWebサーバからの情報漏えいと、イントラネットでの情報漏えいはまったく異質のものです。よって、ログに対する考え方やシステムそのものは別のものが必要です。これは、かかわるヒトもノウハウも別であることを意味します。
これまでセキュリティポリシーは、一般的にはクラッカーやウイルスという外敵を想定して整備が行われてきましたが、内部関係者が犯罪を行い、そして事実の否認が行われる現状から考えると、性善説を前提としたセキュリティシステムでは十分に機能しないことが考えられます。
【関連記事】
セキュリティ、そろそろ本音で語らないか(11)
犯罪者の「否認」に対応するには
http://www.atmarkit.co.jp/fsecurity/rensai/talk11/talk01.html
クラッカーやウイルス対策であれば、専門のセキュリティ業者に業務をアウトソースできましたし、チェック機器の性能向上により、ある程度は自動運転できるようになりました。しかしながら、内部犯行についてはまだノウハウが蓄積されていません。
内部犯行を突きとめるには、特定の社員の監視や、特定の情報の集中的な監視の必要性を認識したり計画するという“シークレットサービス”のようなプロの仕事が求められます。このためには非常に高いスキルと、幅広いカバー範囲が前提となります。
本来であれば、このような専門的な業務は専門の業者にアウトソースすべき分野です。しかし、会社の内部事情、機密情報、プライバシーにかかわる情報が関係するので、この業務は簡単にアウトソースできません。
ここで求められることは、技術だけでなく、社内調査を行う能力やコミュニケーション能力など、これまでのセキュリティ技術者のカバー範囲を超えた内容となります。そして、多くの種類のログ(PCの操作ログ、サーバのOSのログ、サーバのアプリケーションのログ、ネットワーク機器のログ、データベースのログなど)を束ねる「統合ログ」を設計、構築し取り扱う必要があります。
統合ログを設計、構築、運用するためのサービスプロバイダは、近いうちに登場するでしょう。ただし、統合ログシステムのメンテナンスをするだけのサービスと、情報漏えいの予兆をつかみ調査・報告できるサービスが同じように「統合ログマネジメントサービス」として提供される可能性が高く、玉石混淆(こう)になってしまうことを私は恐れています。
これまでもクラッカーやウイルスを防御し、セキュリティを確保するサービスが同じように「差が分からないから安いほうにしておく」ということが行われてきた経緯がありますが、この統合ログに関してはそのようなことになっていけないと考えています。
そこで、データベース・セキュリティ・コンソーシアム(DBSC)において、統合ログWGというワーキンググループを発足し、統合ログマネジメントサービスそのものに関するガイドラインを策定し、ユーザーと業者自身の双方にとって標準的な指標となることを目指して活動することにしました。
この統合ログWGでは、ログ設計、統合ログシステムの構築、運用を具体的に定義しようとしています。さらに、業者としての企業の在り方、サービスを実行する技術者やマネージャ、コンサルタントに必要なスキルの定義と教育方法まで議論します。
ここでいうログ設計とは「ログで何をしたいのか、何ができるのか」を整理することです。現在はログで何ができるのかということすら、技術的に整理されていません。まずはその定義から始めなければいけません。お客様によっては「事後に重点を置く」考えもあると思いますし、「予兆をいち早く検知したい」と考えるケースもあるでしょう。これらの要件と実現可能性、そしてなによりコストについて分析を行い最適解を導き出す、という重要なフェイズであり、ここで間違うと肝心なものが見つからない事態に陥ってしまいます。
運用フェイズも、通常のシステム運用と違い、場合によっては内部監査室や社長室とのコミュニケーションも必要です。「特定の社員を監視する」といった標的の設定や内部調査など、重要で特殊な業務が含まれます。
法的な対処も大きな課題です。犯人や関係者の特定ができたとしても、体制や環境が未整備であるため、法的措置をどうすべきかは大きな課題です。しかし、法的未整備を嘆いていても現状は変わりませんから、まずは技術的に「確固たる証拠とはこのようなもの」というものを提起しないといけないと考えています。その場合、1個所のログだけでなく、複数のログを組み合わせることによって証拠能力が高まると考えています。
私は法律関係は素人ですので、今後WGの進展次第でフォレンジック関連との連携もしなければいけないと考えています。さらに、法廷で争うことを視野に入れるのであれば、監視カメラや出入記録が大きな決め手になります。なぜなら、現在統合ログと呼ばれているシステムでは、「コンピュータの特定」までしか行えないからです。
ユーザーアカウントをいくら記録しても、本人かどうか、という争点から考えると最後の決め手は監視画像や出入記録が決め手になるでしょう。法廷でログの話をしても裁判官が理解できないかもしれませんが、画像との突き合わせで合理的に証明することが可能になります。
有効な統合ログシステムが構築されれば、そのこと自体が大きな抑止効果となることが考えられますから、投資対効果も十分にあると思われます。統合ログシステムと、そのマネジメントを組み合わせたものこそが「セキュリティシステムマネジメント」であると私は考えています。
Copyright © ITmedia, Inc. All Rights Reserved.