国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
外部からの不正アクセスやウイルス感染により、組織内部からの情報漏洩等の事故が発生してしまった場合、そのことにいち早く気づき、被害状況や影響範囲の調査などの事後対応を効果的に行うためには、監査ログ(通信記録)の取得と保管が重要になります。
そのときネットワークでどのような通信が行われていたか、情報システム内で何が起こっていたかなど、後から追跡調査を行う際に監査ログの解析が役立ち、事故の原因究明や、事後の抜本的な対策を導き出すことにつながります。
監査ログの具体的な例としては次のものが挙げられます。
それぞれのサーバやシステムが出力するログの内容は、通信やアクセスの送信元・送信先のIPアドレスを始めとして、通信に使用されるポート番号、命令の内容、通信データ自身など、さまざまなレベルがあります。出力されるログの詳細度は一般的には設定によって制御できますが、どのような内容のログを取得するべきか、またその保存期間をどの程度とするかは、組織が扱うデータの性質や、システムの処理能力、ネットワーク構成などに大きく関係します。さらに、組織が受ける可能性があるネットワーク攻撃を事前に想定し、それを考慮したログの取得・管理方法を設計に反映することで、調査が必要になった場合に、より役に立つ情報を得られることが考えられます。
必要な監査ログの種類と内容について、組織内で十分に検討を行い、適切な監査ログを取得できるようにしましょう。
ログを取得する場合、各コンピュータ間でシステムの時刻を一致させておく必要があります。この時刻の同期が不適切であると、ログに記録された時刻がずれてしまい、各システム間でログを相関的に分析することが困難になります。
システムの時刻を同期させる手段として、一般的にNTP(Network Time Protocol)が広く利用されています。実際にNTPが正しく設定され、正常に動作していることを確認しておくことが重要です。
ログは、収集した機器の本体内ではなく、ログ取得のために別途ログ管理システムなどを設計し、そこで保管を行うことが推奨されます。そうすることで、ログの改ざんなどの不正行為からの保護だけでなく、ログ解析プログラムによる可視化処理を行ったり、保存期間の制御なども行いやすくなったりします。
また、一定期間を経過したログの保管方法として、コストや保存期間を考慮し、外部記憶媒体等に保管する運用も検討しましょう。通常のデータのバックアップと同様に、ログのバックアップも重要になります。
ログには、誰と誰がいつどのような内容の通信を行ったか、という情報が記録されています。また、企業秘密に関する情報や、電子メールの内容、利用者が入力した個人情報などがそのまま含まれている場合もあります。ログは機密情報であるということを理解し、取り扱いには十分な注意が必要です。
例えば、外部のセキュリティ調査会社にログを開示して調査を依頼する際には、ログの内容に関して秘密保持契約を結んだり、ログを外部に持ち出さなければならない際にはデータの暗号化を検討したりするなど、秘密の保全に関する対応が必要であることを理解しましょう。