第3回 御社のログ管理体制、見直してみませんか？

松下　勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA（公認情報システム監査人）
2007/8/17

---

　SP800-92でのログ管理を確認する

　これら付属書Aの管理策だけでなく、組織に効果的なログ管理（コンピュータセキュリティログに特化したログ管理）を導入する場合、米国商務省国立標準技術研究所（NIST）が2006年9月に発行した「SP800-92」が参考になります。

　この参考文献において、コンピュータセキュリティログは、基本としてどのようなアプリケーションから収集するのかというのが、以下のように明示されています。

• セキュリティソフトウェア
• アンチウイルス・アンチマルウェアソフトウェア
• IDS・IPSシステム
• リモートアクセスソフトウェア
• Webプロキシ
• 脆弱性管理ソフトウェア
• 認証サーバ
• ルータ
• ファイアウォール
• ネットワーク検閲サーバ
  
• オペレーティング・システム（OS）
  • システムイベント
  • 監査ログ
• アプリケーション
  • クライアントリクエストおよびサーバレスポンス
  • アカウント情報
  • 使用情報（使用時間、電子メールのメッセージの大きさ、転送ファイルの大きさなど）
  • 重要な運用上の操作（スタート、シャットダウン、アプリケーションの設定の変更など）

　そして、これらのログを管理するために「ログ管理基盤」を確立する必要があります。この「ログ管理基盤」は、以下の3つの段階から形成されています。

1. ログの生成
   ログのコンテンツや時刻、フォーマットを合わせ、サーバ単体でログを取得するのか、ログ収集サーバにて収集するのかを決めます。収集するログの項目は、対象となるシステムの重要度を考慮して、フィルタリングする項目も決めていきます。
   
   
2. ログの分析および保管
   収集したログを分析する時期や、どのくらいの期間で取得したログを、どのように（メディアなのかストレージなのか、など）、どのくらいの期間、保管するのかを決めます。
   
   
3. ログの監視
   監視端末により、監視、ログおよび自動解析したログのレビューを実施します。これにより、監視した結果のレポートや、その結果からシステムへフィードバックする方法を決めます。

　これらを単に実施するだけでなく、役割および責任を定義することも規定しています。

　例えば、役割および責任においては、システム管理者、ネットワーク管理者、セキュリティ管理者、コンピュータインシデント対応チーム（CSIRT）、システム開発者などを定義しています。

図1　ログ管理のための組織例

　個々の役割および責任は、以下となります。

• システム管理者およびネットワーク管理者
  • 個々のシステム、ネットワーク機器のログの設定
  • これらのログの定期的な分析
  • ログ管理活動の結果の報告
  • ログの定期的な保管
  • ソフトウェアのログの定期的な保管
• セキュリティ管理者
  • 「ログ管理基盤」の管理およびモニタリング
  • セキュリティ機器のログの設定
    （例：ファイアウォール、IDS、ウイルス対策サーバなど）
  • ログ管理活動の結果の報告
  • そのほか、必要とされるログの設定
  • ログの分析
• コンピュータセキュリティインシデント対応チーム（CSIRT）
  • インシデントに対応するために、ログを使用する
• システム開発者
  • ログ取得のための要求事項および推奨事項が、システム上で機能するために設計およびカスタマイズする
• 情報セキュリティ管理者
  • 「ログ管理基盤」を統括管理する
• 情報統括管理者（CIO）
  • ログを生成し、転送し、保管するITの資源を統括管理する
    （組織によっては、CIOが情報セキュリティ管理者を兼ねる場合もある）
• 内部監査部門
  • 監査する際に、ログを使用する
• システム調達要員
  • 調達するシステムおよびソフトウェアに、コンピュータセキュリティログが生成できるようにする

2/3

Index
御社のログ管理体制、見直してみませんか？
	Page1 ログの持つ意味は大きくなっている ログを取るならば個を特定できるまで徹底する ログ管理、付属書Aでは何が書かれている？
	Page2 SP800-92でのログ管理を確認する
	Page3 実際の運用をイメージしてみよう

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）