第1回 ここまで分かる! ログの神髄

伊藤 直喜
ALSOK 開発企画部

PCやネットワーク機器、あるいは入退室管理システムなどが生成するログには、セキュリティ対策を進めるために有用な情報が含まれている。その活用方法を紹介していく。(編集部)
 ログ――それを捨てるなんてもったいない
 情報漏えい対策や内部統制の強化が叫ばれるようになり、ログの重要性の認識が高まって久しい。しかし、ログの重要性を認識しつつも、ただ単にPCやネットワーク機器のログを取得・蓄積するだけで満足してしまい、まったく有効活用されていないという話をよく耳にする。これではせっかくの情報を捨てているのと同じであり、非常にもったいない。

 PCの操作ログを見ると、誰がどのファイルに対してどんな操作をしたのかが分かり、情報漏えい事故が発生した際には、漏えいした情報の範囲を特定する手がかりになる。また、ICカードを利用した部屋の入退室管理システムのログでは、誰が、いつからいつまでどの部屋にいたのかが分かる。これを応用して、現在の在室者の管理や各人の所在管理をすることも可能である。

 本連載では、ITの世界だけでなく物理の世界も対象として、ログの活用方法や分析手法の解説について執筆していく予定である。これらを通じて、読者の方々がログから多くの情報を得て、業務に利用していただければ幸いである。

 多種多様な「ログ」
 さて最初に、本連載で対象にする「ログ」について確認しておきたい。ログといえば、コンピュータシステムやネットワークなどのITの世界のログが連想されるが、本稿ではこれに加えて、部屋の出入りや建物の警備といった物理世界のログも対象としていく。

 一口に「ログ」といっても、種類はさまざまである。

 例えばWindowsでは、ログイン/ログアウト、ファイルへのアクセス、アプリケーションの動作、エラーの履歴などまだまだあるが、一般ユーザーはあまり意識することがない情報かもしれない。しかし、実際にはPCの操作ログの取得やそれを自動的に集計することが容易に行えるような情報漏えい対策製品が普及しており、このようなシステムが多くの企業で導入されている。

 また、ルータやファイアウォールなどのアプライアンス製品もログを出力する機能を有している。さらに、社員証などのICカードを使って部屋の入退室を制御しているオフィスではその履歴が残るし、監視カメラシステムで個人を識別して、入室履歴を残している場合もある。SuicaやPASMOなどのICカード乗車券やEdyなどの電子マネーも使用履歴が記録され、インターネットやPCで簡単に確認できる。


図1 われわれを取り巻くさまざまなログ
 このように、われわれは生活の中でさまざまなシステムを利用し、その履歴がログとして記録されている。ちなみに筆者も、交通費精算のために、ICカード乗車券の履歴をよく参照している。

ログの種類
内容
操作ログ
OS、アプリケーション、プリンタ、etc
アプライアンスの動作ログ ルータ、ファイアウォール、IPS、etc
物理世界のログ 部屋の出入り(ICカード認証)、監視カメラ(顔認証)、交通機関(ICカード乗車券)、etc
表1 ログの種類
 システムの管理や運用にかかわる人が主に扱うログは、コンピュータシステムやネットワーク機器などのものが多いのではないかと思う。これらのログはシステムなどの動作履歴のため、何が起こったのか、どんな操作が行われたのかを後から確認することができる。情報漏えいなどの事故が発生したときは、その原因調査に活用するといった、過去へさかのぼる使い方になるだろう。

 別の用途では、システムの稼働状況を時系列で確認し、未来の障害の前兆をとらえることも可能だ。障害だけでなく、キャパシティプランニングの材料として、システムの拡張などの変更計画立案の材料にしたり、システム変更後の効果測定の材料にしたりすることもできる。

 また、サーバルームなどのハイレベルなセキュリティエリアでは、そのエリアへの入室とシステムの利用の際に事前の申請と承認を行い、さらに、システム利用後にログを確認して、申請範囲を逸脱したシステムの利用がなかったかを検証するなどの活用方法も考えられる。


ログ取得、5つのポイント
 ここからは、ログを取得する際に考慮しておくべき点について記載する。

 ログは単独の装置のものでも有効に活用することができるが、複数のシステムのログを組み合わせて読み解くことで、より詳細な情報を得ることができる。ログの読み解き方については別の回で記載するが、その前段階として、ログを取得する際に注意しなければならない5つのポイントを述べておきたい。

各システムの時刻を同期させる
ひも付けるキーの決定
完全性
保存
取得レベル
■各システムの時刻を同期させる
 まず1つ目は、各システムの時刻を同期させることである。それぞれのシステムの時計がずれていると、ログを時系列で見たときに、正確な順番にならない可能性がある。そうすると、正確な分析が行えなくなってしまう。各システムが同一のタイムサーバと同期するように設定するなどして、常に正確な時刻になるように環境を整える必要がある。


図2 各システムの時刻を正確に合わせておく必要がある
 プロバイダがタイムサーバを提供している場合もあるし、タイムサーバの機能を備えたルータやファイアウォール製品も一般に販売されているので、これらを有効活用するとよいだろう。

■ひも付けるキーの決定
 2つ目は、それぞれのシステムのログについて、何をキーにひも付けるかという点である。例えば、ファイルのアクセスログとファイアウォールのログでは、同じPCでの操作でも、記録される項目が異なる。その中で共通する情報を基にそれぞれのログの関連付けを行う必要があるが、キーとなる情報はIPアドレスが一般的ではないだろうか。

 ここで、DHCPによるIPアドレスの自動割り当てを行っていると、ログが記録された時点で、そのIPアドレスがどのPCに割り当てられていたのかが分からないことも想定される。これを明確にするにはDHCPサーバのログも必要となるので、あらかじめIPアドレスは固定で割り当てるようにするのも1つの手である。複数のシステムのログを横断的に分析する場合、IPアドレスが固定されていた方が集計や分析がやりやすくなるので、ネットワークの設計段階で考慮しておくとよいだろう。

■完全性
 3つ目はログの完全性である。セキュリティを目的としたログでは特に重要な要素である。

 完全性とは、簡単にいうと「情報が正確であることを保証すること」である。例えば、重要なサーバに不正に管理者権限でアクセスされたとする。サーバの操作ログは記録されたとしても、そのサーバ内に保存されたログは、改ざんや削除により、ログから得られる情報が誤ったものになってしまったり、必要な情報が得られなくなってしまったりする。これではログの情報が正確である確証がなく、完全性に欠ける状態である。

 では完全性を確保するためにはどうしたらよいだろうか。それには例えば、ログを別システムへ送信する方法がある。不正操作者がログを改ざんしようにも、そのログは別のシステムに保存されるため、改ざんが困難となる。

■保存
 4つ目は、ログの保存についてである。実際にログを数カ月または年単位で保存することになった場合、保存先のメディアとしてハードディスクは不向きである。ハードディスクの容量は増大し、安価にもなってきているとはいえ、保存できる容量には限界があり、改ざんやハードウェアトラブルによるデータの消失のリスクもある。従って、長期に保存する場合は、DVD-Rなどの編集不可能なメディアに記録して保存するのがよいだろう。これによって完全性も確保できるからである。

 ログの保存期間は、ガイドラインなどで明確に基準がある場合はそれに従えばよいが、そのような基準がない場合も多い。一般的に3カ月が最低ラインとして考えられているようだが、情報漏えい事故の例をみると、1年以上前の情報が漏えいしている場合も多く、年単位で保存するのが理想である。

■取得レベル
 5つ目は、ログを取得するレベルである。多くの製品では、ログは重要度のレベルも情報として持っている。特にファイアウォールやIPSなどのセキュリティに関するログやシステムの稼働状況に関するログは、内容に応じてレベル分けされていることが多い。ログの利用用途に応じて、どのようなログが必要かを検討し、不要なログは記録しないようにすることも必要である。

 すべてのログを記録しても問題ないストレージ容量があればよいが、限られた記録容量の中でやりくりするには、「情報」レベルのログは捨てて、「警告」レベル以上のログのみを記録することなどを検討すべきだ。このようにログをレベル分けしておけば、「障害」レベルのログが発生した際にはメールで通知するなどの機能を備えた製品も多く、重要な情報をほぼリアルタイムに把握できる。

 ただし、製品によっては、ログの種別やそのログの内容によってフィルタリング条件の柔軟さが異なる。そのため、設定項目を確認して、必要なログを取りこぼさないように、設定をチューニングしたうえで、効率的にログを取得したい。
 ログからつながる3つの使い方
 あらためて書くが、ログにはさまざまな情報が詰まっている。これを有効に活用するには、その目的を明確にし、必要なログが取得できる環境を整えて、取得したログを分析することが必要だ。さらに、そこから得られた情報を基に、次のアクションへつなげることもできる。

セキュリティ
トラブルの原因究明
コスト削減
■セキュリティ
 会社の内部情報や顧客の個人情報などの情報漏えいは、企業が抱えるリスクの1つである。これを防止するには、パソコンの操作ログやネットワークの通信ログを取得して定期的に分析し、社内のシステムの利用状況を把握することが重要だ。組織がログを管理しているという姿勢を見せることで、不正操作の抑止効果も期待できるし、逆に不正がないことを証明する材料にもなりうる。

 情報セキュリティへの投資は後ろ向きな投資(利益を生まない投資)と考えられがちだ。だが一度情報漏えいを起こせば、信用の失墜や顧客への補償などによる経済的なダメージは大きい。また、取引や契約締結の条件として、一定のセキュリティ対策の実施を求める企業も増えている。こう考えていくとセキュリティ投資はけっして後ろ向きの投資ではなく、特に中小企業においては利益を生む投資であるといってもよいだろう。

■トラブルの原因究明
 システム管理という切り口でログを活用する場合、システムが正常な状態にあるときは、どんなログがどれくらいの頻度で出てくるのか、大まかな傾向を把握することで、平常時とは異なる特異なログが見えてくる。普段とは異なるこのようなログは、機器やネットワークのトラブルの予兆のいち早い察知につながるし、トラブル発生時の原因究明にも役に立つ。具体的には、パケットのエラー発生率の上昇から、LANケーブルの断線やスイッチやルータのポートの故障などの発見に至る例がある。

■コスト削減
 繰り返し述べてきたとおり、ログの用途は、従来はセキュリティやシステム管理の用途が中心であった。だが最近では、PCの電源オン/オフのログを集計して消費電力を計算したり、プリンタの印刷ページ数を集計して印刷コストを計算するといった形で、企業のコスト削減に直接的に貢献するツールも出てきている。

 また、ログの分析をアウトソーシングするサービスもある。コストや人員的に、自社内での技術者育成や担当者の配置が困難な場合は、このようなサービスを活用することで、セキュリティの強化や日ごろの重要なデータの取扱管理などの課題を比較的容易に解決できるだろう。

 今回はログの全体的な概略について述べたが、次回からはPCやネットワーク、そして物理世界のログの分析、活用方法について掘り下げて解説していきたい。

Profile
伊藤 直喜(いとう なおき)
ALSOK 開発企画部勤務 情報セキュリティスペシャリスト

ALSOKの「情報警備事業」の立ち上げに携わり、サービスの構築や、運用基盤となる情報警備監視センターの設立に尽力した。「情報警備事業」で提供するサービスには、PCの操作ログ管理および分析により情報漏えいを監視する「PC監視」や、UTMの管理・運用のアウトソーシングに加え情報漏えいを切り口にログ分析を行う「ネットワーク監視」などがある。
画像
画像

この記事へのコメント

この記事へのトラックバック