第3回 御社のログ管理体制、見直してみませんか?
松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/8/17
実際の運用をイメージしてみよう
では、実際にはどのようにして事象に対応していけばよいのでしょうか。それぞれの役割の人がどのように活動すべきか、ケーススタディをサンプルとして記載します。
| 【ケーススタディ】 システム管理者のAさんが1週間に一度のログの分析作業を実施していたときに、ある火曜日の深夜に何度も同じサーバがリブートされていることに気付きました。 これについて、このサーバを管轄しているシステム管理者のBさんに、この日にリブートしたかどうかを確認しました。しかし、Bさんはリブートした覚えがないということで、何者かによって故意にリブートされたかもしれないと考えました。 Aさんは詳細にログの分析作業を進めると、BさんのユーザーIDにより、リブートの前に、必ず他の操作の履歴が残っていました。例えば、システムファイルの更新や、ソフトウェアのインストール、ファイルを転送しているようです。そのサーバ内のログを確認してみると、分析したログの内容は削除されていました。 幸い、ログはサーバ内だけに保存する管理体系ではなく、ログの管理サーバに転送していたことから、そのサーバにおける本当の操作履歴をログにて確認することができました。この結果から、不正な操作だという推測から確信に変わり、インシデントが発生していたことを発見しました。 |
この事例ではその後、AさんはCIOを経由し(緊急の場合はエスカレーションにより、ダイレクトに情報セキュリティ管理者に報告)、コンピュータセキュリティインシデント対応チーム(CSIRT)の発動を要請しました。これにより、CSIRT、Bさん、そのネットワークに関与しているセキュリティ管理者のCさんを含め、コンピュータセキュリティインシデント対応が実施されます。これらのインシデント対応の実施状況については、適宜、情報セキュリティ管理者に報告されます。その結果、株主や顧客に報告するのかどうかなど、経営判断が必要な場合は、経営陣に報告し、確認していくことになります。
これまでの「ログ管理基盤」および「役割および責任」の考えを含め、ログ管理ポリシーを作成します。このポリシーを作成するには、以下の4つを定義します。
- ログの生成
- ログの転送
- ログの保管および廃棄
- ログの分析
ただし、ここで確立したログ管理ポリシーを確実にするために、中小規模、大規模などのシステム規模とマッチングした、実効性のあるポリシーを確保することを定義しています。
そして、「ログ管理基盤」の3つの段階を前述していますが、その基盤を設計するために、データの取得量、ネットワークの帯域およびピーク時の考慮、データ転送時のデータの保護などを定義しています。
ログ取得のための設定については、サンプルとして、以下のように分類されています。
| 分類 | 影響度「低」のシステム |
影響度「中」のシステム |
影響度「高」のシステム |
| ログの保管期間 | 1〜2週間 | 1〜3カ月 | 3〜12カ月 |
| ログのローテーション | 任意 (もし実施するのであれば、毎週、あるいは25Mbytesごと) |
6〜24時間ごと、 あるいは、 2〜5Mbytesごと |
15〜60分ごと、 あるいは、 0.5〜1Mbytesごと |
| ログを転送する頻度 | 3〜24時間ごと | 15〜60分ごと | 少なくとも、5分ごと |
| ログ分析の頻度 | 1〜7日ごと | 12〜24時間ごと | 少なくとも、1日に6回 |
| ログファイルのインテグリティチェック | 任意 | 実施する | 実施する |
| ログの暗号化 | 任意 | 任意 | 実施する |
| ログ転送時の暗号化 | 任意 | 実現可能な場合、実施する | 実施する |
| 表1 影響度に応じたログ取得設定の例 |
このように、ログ管理の実際の実務レベルだけでなく、体制の確立を経てログ管理を実施することで、システムやその機能を導入したことで安心せずに、定期的にログを確認し、その結果をレビューするという、PDCAモデルを用いた継続的改善について定義しているガイドとなっています。
管理策だけに偏らず、管理する仕組みも考えたい、という組織にとっては、参考になる文献です。また、ISMSだけでなく、内部統制もお考えになられるときにも参考となります。
 |
3/3 |
| Index | |
| 御社のログ管理体制、見直してみませんか? | |
| Page1 ログの持つ意味は大きくなっている ログを取るならば個人を特定できるまで徹底する ログ管理、付属書Aでは何が書かれている? |
|
| Page2 SP800-92でのログ管理を確認する |
|
 |
Page3 実際の運用をイメージしてみよう |
| Profile |
| 松下 勉(まつした つとむ) テュフズードジャパン株式会社 マネジメントサービス部 ISMS主任審査員 CISA(公認情報システム監査人) これまで、ネットワークインフラ構築・サーバ構築などのネットワークエンジニア、ネットワークセキュリティ診断・情報セキュリティ監査・情報セキュリティポリシー策定・ISMS認証支援・プライバシーマーク認証支援などの情報セキュリティコンサルタントを経て、第三者認証機関の審査員となる。 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
