インターポールの考える「サイバー犯罪撲滅策」：「＠ITセキュリティセミナー（大阪）」レポート2016（2/2 ページ）

＠IT編集部は2016年3月8日、大阪市で「＠ITセキュリティセミナー」を開催した。本稿では大阪会場のみで行われたセッションを取り上げて紹介する。

[高橋睦美，＠IT]

答えはログに聞け――脆弱性検査の現場で見た「ログ活用」の重要性

ゲヒルン 代表取締役 石森大貴氏

　続いて「そこにログはあるか。企業の事例に見る、セキュリティログ活用の落とし穴」というタイトルで特別講演を行ったのは、ゲヒルン 代表取締役の石森大貴氏だ。同氏は筑波大学在学中にゲヒルンを起業した経緯や、セキュリティ診断サービスを手掛ける同社メンバーの「得意技」などを紹介しつつ、診断の現場で感じた「ログが果たす役割の大きさ」を説明した。

　ゲヒルンでは、さまざまな企業のWebアプリケーションを対象に、脆弱（ぜいじゃく）性診断サービスを実施している。その経験の中には、「パスワードリスト攻撃に関する調査を依頼されたのに肝心の『攻撃のあった日のログ』が設定ミスのために消えていた」といったケースもあったそうだ。石森氏は、「その際に先方から『ポリシーはあっても、そのポリシーが正しく運用されているかを確認するポリシーがなかった』という説明を受けた」と苦笑いを交えながら語った。その他にも、クレジットカード情報の漏えいに関する通報を受けて調査に乗り出したものの、「Webアプリケーションに対するリクエストのログが取得されていなかった」といったログにまつわる“トホホ”な事例は決して珍しくないそうだ。

　こうした事例を紹介しながら石森氏は「インシデントレスポンスやフォレンジックにおいて、ログの存在は不可欠だ。ただし同時に、サーバの権限を奪取されている場合にはログ自体が改ざんされている恐れもある。全てのログを信用できるわけではない点には注意が必要だ」と述べた。また同氏は、システム委託先社員が解析用ログからデータを入手してキャッシュカードを偽造してしまった「横浜銀行カード偽造事件」にも触れ、「ログは犯罪者／攻撃者にとっても有利に働くことがある。しかし、無実を証明してくれるのもやはりログだ」とログが持つ二面性についても指摘した。

　とはいっても、そもそも上述の例のようにログが適切に収集されていないケースはまだ多いようだ。「ログを取っていなかったり、取っていても時刻同期がされておらず、複数ソースから取得したログ間の相関を取るのが困難だったり、Active Direvtoryの監査ログが取られていなかったりすることもある。現実には何かが起きてから初めてログを探索することが多いが、大抵の場合、必要なログは残っていない。セキュリティ原理主義に陥る必要はないが、できる範囲でログ取得には取り組むべきだ」（石森氏）。

　さらに石森氏は「ログは集めただけでも価値はあるが、そのままでは、貝塚から出土したばかりの土器のように欠けている部分がある。集めたログを効果的に運用することが重要だ」と述べ、例えばSIEMのようなツールを活用することで、さまざまなソースから取得したログを集約し、相関関係を可視化するプロセスを自動化することが有効だという。同氏は「SIEMのような製品を取り入れることで『ログを集める文化』を組織内で作っていくことができる。社内の文化を変えるために、まずは製品を導入することから始めるという方法もある」と述べた。

　ただし、製品を取り入れ、ログ収集を始めても、それを最大限に活用するためにはルール作りやCSIRTのようなインシデントレスポンス体制の整備が欠かせない。ここで立ちふさがるのが「人手不足」の問題だ。これについて石森氏は「人材は都合良く落ちてきたりしない。自社の業務、事業についてよく知っている人を、社内でセキュリティ屋として育てる必要があるのではないか」と語った。

　宮城県石巻市出身の石森氏は、「防災においてもセキュリティにおいても、インシデントハンドリング時には正しい情報を収集し、発信することが求められる」と述べる。インシデント発生時に適切な判断を下し、顧客からの信頼を崩さないためには、さまざまなバイアスに惑わされることのない正しい情報が必要だ。その答えの1つが「ログ」であろう。そんな意味を込めて石森氏は「答えはログに聞け」と述べ、講演を締めくくった。