われわれは「なぜ」ログを取るのか：「内部統制」に振り回されない賢いログ活用とは（1/2 ページ）

セキュリティ上の理由でログを取る目的は、大きく2つに分けることができる。それぞれ性格も、取得するときに注目すべきポイントも異なってくる。

[二木真明，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「『内部統制』に振り回されない賢いログ活用とは」でご覧になれます。

　情報セキュリティの教科書を読んだならば、必ずどこかに「ログ」という言葉が出てくるはずだ。そして、ほぼすべてのOSやアプリケーションには、何らかの「ログ」を出力する機能が備わっている。

　では、とりあえずこれらのログをすべて保存しておけばよいのか、というと、そんな簡単な話ではない。そもそも、出てくるログをすべて保存していたら、システムにもよるだろうが、多くの場合は巨大なストレージが必要になる。現実的にはその前にストレージがパンクするだろう。

　おまけに、とりあえず取っておけばそれで十分かと聞かれても、答えようがない。そもそも「ログをなぜ必要とするのか」という点をきちんと考えておかなければ、やみくもにログをとってもお金と労力の無駄遣いになりかねないのだ。

そもそもログを取る目的とは？

　まず一般論として言うと、ログを取る目的は多様だ。

　今のようにセキュリティが声高に叫ばれる以前は、ログは、たとえばシステムの利用状況やシステム自身の稼働状態を確認するために使われることが多かった。いまでもWebサーバのアクセスログは、「どの時間帯にどのページにどれくらいのアクセスがあったか」「どのページからのリンクを経由したアクセスが多いのか」といった、どちらかといえばマーケティング的な用途での利用が主体である。

　つまり、システムの稼働（健康）状態やアクセス状況を知ることは、ログを取得する最も大きな目的の1つである。

図1●なぜログを取るのか、その目的

　一方、セキュリティ上の目的でログを取る場合はやや異なる。大別すると2つの理由が考えられるだろう。

　1つは、端的に言うならば不正（もしくはその兆候）の発見である。特定のエラーや日常とは異なる状況（アノマリー）をログの検査を通じて発見することが目的だ。

　もう1つは、いわゆるトレーサビリティの確保を目的としたものである。たとえば、何か事件が発生した際に、過去のログを調べて原因や事故の発生過程を調査、検証することができるようにすることが目的となる。いわゆる「フォレンジック」につながる要素だ。

図2●何をログとして記録するのか、その対象

　これら2つの目的には、その性格に大きな違いがあることに注意する必要がある。前者ではエラーなどのいわば「異常系」に着目するのに対し、後者はアクセスログなど「正常系」を含めたログを必要とする。

　たとえばシステムの認証ログについて言うならば、前者の場合はユーザーIDやパスワードの入力誤り（認証の失敗）を記録できれば、おおむね目的を達することができる。だが後者では、認証の成功を含めてすべてのログが必要となる。事故の調査過程において、不正な侵入者はもちろん、正当なユーザーについても、いつ、どのような状況でログインしたかというような点まで調べることが必要になるからだ。