ログを保存することで、何に活用できるのでしょうか?
「事後調査」はもちろん、「不正抑止」や「予兆検知」などにも役立てることができます。
「何か問題が発生したときに、調査をするために必要なのがログだ」という認識を持っている人は多いかもしれません。確かにログは、不具合やトラブルが発生したときに、原因を調査するための有効な手段の1つです。しかし、こうした「事後調査」だけがログの役割ではありません。
情報セキュリティの観点から見れば、ログを普段から監視することにより、内部での「不正抑止」にも役立てることができます。不正抑止は、防犯カメラをイメージすると分かりやすいでしょう。監視していると伝えることで、内部からの情報持ち出しなどの不正を行おうとする人を減らせる効果があります。
また、普段からアクセスログなどを監視していると、不正な操作や通信が行われようとしていることに気付ける可能性があります。これが「予兆検知」です。予兆検知は、セキュリティにおいてログを監視する大きな理由の1つです。
具体的に、どんな通信や操作があると不正だと判断できるのでしょうか?
通信量やエラーの頻度、操作やデータの内容など、さまざまな視点からチェックして判断します。
不正な操作や通信を検出するために多く使われているのが、「しきい値」を用いた検出方法です。例えば、通信量が通常時と比べて異常に増加したり、エラーの発生件数や発生率が一定の数を超えたりした場合に、“異常”であるとして管理者に通知します。
その他にも、「社内のPCにUSBメモリが接続された」「顧客情報をファイル名に含むデータがコピーされた」といったことを検知してアラートを上げるような機能を持つ製品もあります。
ログを監視しておらず、このような通知の仕組みがない場合、何らかの被害に遭っているのに気付けないという事態に陥る可能性があります。企業は自社のセキュリティリスクを考慮して、さまざまな視点からログを取得し、不正を検知する仕組みを作る必要があります。
次ページでは、ログ活用が簡単ではない理由を解説します。
Copyright © ITmedia, Inc. All Rights Reserved.