ここから本文です

なぜ、「ログを保存すること」が大切なの?

@IT 8月12日(金)6時10分配信

●情報漏えい事件のニュースを見ていると、被害の調査で「ログ」を分析しているようです。ログには何が記録されているのでしょうか?
→機器やソフトウェアによって、記録されている内容は異なります。

【その他の画像】Windowsにも「イベントログ」がたくさん出力されています

 Web上のニュースを見ていると、連日さまざまな情報セキュリティ関連の事件が取り上げられています。特に、大規模な情報漏えい事故が発生すると、テレビなどのマスメディアでも大々的に報道されることがあります。こうした報道の中でも、少し専門的な記事などでしばしば登場するのが、「ログ」という言葉です。

 ログは「情報を記録に残したもの」ですが、一口にログと言っても多くの種類があります。例えば、Webサーバの場合、「アクセスログ」や「エラーログ」、ネットワーク機器であれば「通信内容のログ」、PCなら「イベントログ」などがあります。また、アプリケーションが独自にログを出力している場合もあります。

●ログは何も設定しなくても、自動的に記録されるのでしょうか?
→多くの製品はログを自動的に出力しますが、設定が必要なものもあります。

 Webサーバなどの場合は、デフォルトでアクセスログやエラーログを出力するように設定されていることが一般的です。出力形式、出力する場所などをカスタマイズすることもできますが、初期設定では標準的な形式で、デフォルトの場所に出力されます。(例:Apacheの場合、/var/log/httpd/access_logなど)

 一方、ルーターなどのネットワーク機器については、取得する内容に関する設定が必要な場合が多く、家庭向けの機器では、必要最低限のログしか取得できないようなものもあります。

 また、Windowsの場合は自動で取得できるログもありますが、下図のように「ログの有効化」を選択しておかないと取得できないログもあります。


●ログを保存することで、何に活用できるのでしょうか?
→「事後調査」はもちろん、「不正抑止」や「予兆検知」などにも役立てることができます。

 「何か問題が発生したときに、調査をするために必要なのがログだ」という認識を持っている人は多いかもしれません。確かにログは、不具合やトラブルが発生したときに、原因を調査するための有効な手段の1つです。しかし、こうした「事後調査」だけがログの役割ではありません。

 情報セキュリティの観点から見れば、ログを普段から監視することにより、内部での「不正抑止」にも役立てることができます。不正抑止は、防犯カメラをイメージすると分かりやすいでしょう。監視していると伝えることで、内部からの情報持ち出しなどの不正を行おうとする人を減らせる効果があります。

 また、普段からアクセスログなどを監視していると、不正な操作や通信が行われようとしていることに気付ける可能性があります。これが「予兆検知」です。予兆検知は、セキュリティにおいてログを監視する大きな理由の1つです。

●具体的に、どんな通信や操作があると不正だと判断できるのでしょうか?
→通信量やエラーの頻度、操作やデータの内容など、さまざまな視点からチェックして判断します。

 不正な操作や通信を検出するために多く使われているのが、「しきい値」を用いた検出方法です。例えば、通信量が通常時と比べて異常に増加したり、エラーの発生件数や発生率が一定の数を超えたりした場合に、“異常”であるとして管理者に通知します。

 その他にも、「社内のPCにUSBメモリが接続された」「顧客情報をファイル名に含むデータがコピーされた」といったことを検知してアラートを上げるような機能を持つ製品もあります。

 ログを監視しておらず、このような通知の仕組みがない場合、何らかの被害に遭っているのに気付けないという事態に陥る可能性があります。企業は自社のセキュリティリスクを考慮して、さまざまな視点からログを取得し、不正を検知する仕組みを作る必要があります。

●ログの重要性は分かりましたが、全ての組織がこのようにログを活用しているのでしょうか?
→大企業ではログが活用されている例もありますが、特に中小企業などでは、十分にログを活用できていないのが実態です。

 ログを活用し、セキュリティ対策に役立てることが重要だというのは、多くの事業者が認識していることです。しかし、現実はそう簡単にはいきません。例えば、2016年6月にIPAが発表した「企業における情報システムのログ管理に関する実態調査(pdf)」には、以下の記述があります。

「ログ情報の統合・分析、システムのセキュリティ状態の総合的な管理機能」を導入していたのは、大企業でも 29.9%であったのに対し、中小企業は 7%と、ログを活用した対策が普及しているとは言い難い。

 このような状況が生まれている原因の1つとして考えられるのが、「技術者の不足」です。その結果、「担当者がログの詳細を理解できておらず、どんなログを取ればよいのか分からない」「専任の技術者を配置することが難しく、ログ分析が片手間になってしまう」といった状況が生まれています。特に中小企業の場合は、ログを分析する体制を作る費用や時間を確保するのが難しいのが実情です。

 また、Webサーバへのアクセスログなどの場合は、アクセス数と売り上げなどがつながるため、ログを分析することにメリットを見いだせるかもしれませんが、セキュリティログの場合、コストを掛けても、利益向上に直接的にはつながらないという側面があります。攻撃を受けていなければ、ログを見ても何も問題のない状況が続くため、分析の優先度がどうしても下がってしまうのです。

●ログ管理を始める前に、どのような準備が必要でしょうか?
→まず、ログを保存する対象や容量に関してルールを決めておくことが大切です。

 ログは多ければ多いほど分析できる対象が増えますが、やみくもに取得しても、メモリやディスクを浪費するだけで、意味がありません。まずはログを取得する対象を決め、一定の量が蓄積されたときに古いログから順に削除していくなどのルールを決めておくことが重要です。

 このとき、ログを証拠として活用する場合には、法令やガイドラインに沿った期間を目安にする必要があります。例えば、PCI DSSでは「監査証跡(ログ)の履歴を少なくとも1年間保持する」とされています。また、サイバー犯罪に関する条約では「必要な期間」として「90日」という記述があります。法令やガイドラインごとに保存すべき期間には差があります。情報の重要性などを考慮して、組織ごとに保存期間を決める必要があります。

 決定した方針は、第6回で紹介した「セキュリティポリシー」などに明記しておきます。また、メールなどのデータの内容を監視する場合には、プライバシーの問題を考慮し、監視を行っていることを従業員に通知するなどの対応も必要になります。

●多くの機器から出力される大量のログを分析するのは大変そうです。何か良い方法はないのでしょうか。
→「統合ログ管理ツール」などを使うのも1つの手です。

 ログは各機器やアプリケーションが出力しますが、機器などによって、ログの形式や出力条件は異なります。そのため、これらのログをまとめて分析するのは簡単ではありません。そこで、こうしたログ管理を支援するためのツールが提供されています。

 例えば、PCのログを確認するために「資産管理ツール」を使ったり、サーバでは「ログ監査ツール」や「データベース監査ツール」を使ったりするケースがあります。また、専用のログサーバにログを転送し、集中管理している場合もあります。

 さらに大企業では、「統合ログ管理ツール」や「SIEM(Security Information and Event Management)」と呼ばれるようなツールも使われ始めています。こうしたツールを使うことで、複数の機器から出力されるログを効率良く分析できます。

●ログに関して、他に気を付ける点はあるでしょうか?
→ただログを保存したり、ツールを導入したりするだけでなく、管理・運用を考えることも大切です。

 不正行為が発覚した場合にはログが証拠として使われることが多いため、ログへのアクセス権限は適切に設定しておきましょう。また、保存したログは検索や分析に使われることもありますから、検索・分析が素早く行えるだけの機器などのリソースを準備しておく必要があります。

 そして可能であれば、ログを事後分析や異常検知だけに利用するのではなく、予防や防御も含めて考えて、IDS/IPSに反映するなど、他の機能との連携まで合わせたセキュリティ対策ができれば理想的です。ただし、それには当然コストも発生しますから、特に中小企業などにおいては、導入コストや管理の負荷も考慮して、現実的な対策を検討しましょう。

●解説 増井敏克(増井技術士事務所代表)
 技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。ITエンジニアのための実務スキル評価サービス「CodeIQ」にて、情報セキュリティやアルゴリズムに関する問題を多数出題している。また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとして活動。「ビジネス」「数学」「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウエアの開発を行っている。近著に「おうちで学べるセキュリティのきほん」(翔泳社、2015)、「プログラマ脳を鍛える数学パズル シンプルで高速なコードが書けるようになる70問」(翔泳社、2015)「シゴトに役立つデータ分析・統計のトリセツ」(ソシム、2016)がある。

最終更新:8月12日(金)6時10分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]