第3回 御社のログ管理体制、見直してみませんか?


松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/8/17


 実際の運用をイメージしてみよう

 では、実際にはどのようにして事象に対応していけばよいのでしょうか。それぞれの役割の人がどのように活動すべきか、ケーススタディをサンプルとして記載します。

【ケーススタディ】

 システム管理者のAさんが1週間に一度のログの分析作業を実施していたときに、ある火曜日の深夜に何度も同じサーバがリブートされていることに気付きました。 これについて、このサーバを管轄しているシステム管理者のBさんに、この日にリブートしたかどうかを確認しました。しかし、Bさんはリブートした覚えがないということで、何者かによって故意にリブートされたかもしれないと考えました。

 Aさんは詳細にログの分析作業を進めると、BさんのユーザーIDにより、リブートの前に、必ず他の操作の履歴が残っていました。例えば、システムファイルの更新や、ソフトウェアのインストール、ファイルを転送しているようです。そのサーバ内のログを確認してみると、分析したログの内容は削除されていました。

 幸い、ログはサーバ内だけに保存する管理体系ではなく、ログの管理サーバに転送していたことから、そのサーバにおける本当の操作履歴をログにて確認することができました。この結果から、不正な操作だという推測から確信に変わり、インシデントが発生していたことを発見しました。

 この事例ではその後、AさんはCIOを経由し(緊急の場合はエスカレーションにより、ダイレクトに情報セキュリティ管理者に報告)、コンピュータセキュリティインシデント対応チーム(CSIRT)の発動を要請しました。これにより、CSIRT、Bさん、そのネットワークに関与しているセキュリティ管理者のCさんを含め、コンピュータセキュリティインシデント対応が実施されます。これらのインシデント対応の実施状況については、適宜、情報セキュリティ管理者に報告されます。その結果、株主や顧客に報告するのかどうかなど、経営判断が必要な場合は、経営陣に報告し、確認していくことになります。

 これまでの「ログ管理基盤」および「役割および責任」の考えを含め、ログ管理ポリシーを作成します。このポリシーを作成するには、以下の4つを定義します。

  1. ログの生成
  2. ログの転送
  3. ログの保管および廃棄
  4. ログの分析

 ただし、ここで確立したログ管理ポリシーを確実にするために、中小規模、大規模などのシステム規模とマッチングした、実効性のあるポリシーを確保することを定義しています。

 そして、「ログ管理基盤」の3つの段階を前述していますが、その基盤を設計するために、データの取得量、ネットワークの帯域およびピーク時の考慮、データ転送時のデータの保護などを定義しています。

 ログ取得のための設定については、サンプルとして、以下のように分類されています。

分類
影響度「低」のシステム
影響度「中」のシステム
影響度「高」のシステム
ログの保管期間 1〜2週間 1〜3カ月 3〜12カ月
ログのローテーション 任意
(もし実施するのであれば、毎週、あるいは25Mbytesごと)
6〜24時間ごと、
あるいは、
2〜5Mbytesごと
15〜60分ごと、
あるいは、
0.5〜1Mbytesごと
ログを転送する頻度 3〜24時間ごと 15〜60分ごと 少なくとも、5分ごと
ログ分析の頻度 1〜7日ごと 12〜24時間ごと 少なくとも、1日に6回
ログファイルのインテグリティチェック 任意 実施する 実施する
ログの暗号化 任意 任意 実施する
ログ転送時の暗号化 任意 実現可能な場合、実施する 実施する
表1 影響度に応じたログ取得設定の例

 このように、ログ管理の実際の実務レベルだけでなく、体制の確立を経てログ管理を実施することで、システムやその機能を導入したことで安心せずに、定期的にログを確認し、その結果をレビューするという、PDCAモデルを用いた継続的改善について定義しているガイドとなっています。

 管理策だけに偏らず、管理する仕組みも考えたい、という組織にとっては、参考になる文献です。また、ISMSだけでなく、内部統制もお考えになられるときにも参考となります。

3/3
 

Index
御社のログ管理体制、見直してみませんか?
  Page1
ログの持つ意味は大きくなっている
ログを取るならば個人を特定できるまで徹底する
ログ管理、付属書Aでは何が書かれている?
  Page2
SP800-92でのログ管理を確認する
Page3
実際の運用をイメージしてみよう


Profile
松下 勉(まつした つとむ)

テュフズードジャパン株式会社

マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)

これまで、ネットワークインフラ構築・サーバ構築などのネットワークエンジニア、ネットワークセキュリティ診断・情報セキュリティ監査・情報セキュリティポリシー策定・ISMS認証支援・プライバシーマーク認証支援などの情報セキュリティコンサルタントを経て、第三者認証機関の審査員となる。

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間