プロキシログを使った勤怠管理法:ゼロから分かるログ活用術(4)(2/2 ページ)
機密性について
インターネットのWebサーバを使えば、自分のPCから有用な情報が簡単に入手できる半面、掲示板サイトへの書き込みや無料のWebメールによって情報が漏えいしてしまうといったマイナスの面も存在します。下記に示す項目をプロキシのログから調査し該当者に警告することで、こういった情報漏えいにつながる行為を未然に防ぐことが可能です。 ?「外部Webサーバ」に「2ch」や「hotmail.com」といった代表的な書き込みサイトやWebメールサイトへアクセスしているログを調べる
- 「アクセス方法」に「put」や「post」といったデータのアップロード手法を使ったログを調べる
- 「日時」から祝日や休日、もしくは夜間に頻繁にアクセスを行っているログを調べる
- 「転送データ量」から大量のデータ転送(例えば何十Mbytes)を行っているログを調べる
- 「接続元PC」から同一PCを使って頻繁にアクセスしているログを調べる
上記の条件に該当するものが必ずしも情報漏えいにつながるとは言い切れませんが、複数の条件に該当するような場合には注意を要します。
一例として掲示板サイトでは代表的な2ちゃんねるへのアクセス例を見てみます。「外部Webサーバ」項目に「.2ch.net」という文字を含むログを検索して集計してみると、以下のような結果を得ることができます。
| あて先サーバ | ログ件数 | |
|---|---|---|
| 1 | pc5.2ch.net | 31 |
| … | … | … |
| 35 | tv.2ch.net | 1 |
| 36 | tv6.2ch.net | 1 |
| 総合計 | 172 | |
情報関連部門であれば、1番のようなWebサイトへのアクセスは業務関連と考えることもできますが、35/36番に見られるようなテレビ関連サイトへのアクセスは本来不要なはずです。35番のログについて詳しく調査してみると、「2004年10月17日の午前05:39:49に172.16.254.18というPCからhttp://tv.2ch.net/cm/kako/1027/10271/1027104965.htmへアクセスした」ものだということが分かりました。
このログ情報を基に、情報システム部門のマネージャとしてはPC(172.16.254.18)の所有者に対して該当時間帯のWebアクセスの目的を確認し、業務目的外の使用であれば社のセキュリティポリシーにのっとり対応をすることが求められます。
機密性に関して何らかの問題が考えられるような場合には、以下に示すような対策が必要となります。
・ファイアウォールを使い下記の制限を行う
→不要なサイトへのアクセスをブロックする
→ユーザー認証を行い、セキュリティポリシーに違反するようなユーザーはユーザー登録を削除する
・Webアクセスフィルタリングソフトを使い下記の制限を行う
→業務関連以外へのアクセスはブロックする(ブラックリスト)
→業務時間外等、時間帯を限ってアクセスを許可する
→指定したWebサーバへのアクセス以外はブロックする(ホワイトリスト)
→ユーザー認証を行い、ユーザーごとにアクセス可能なサーバを制限する
完全性について
プロキシ経由でのWebアクセスにおいて完全性を考える場合、ウイルスやワーム、スパイウェアといった悪意のあるコードのダウンロードによる被害が大きな割合を占めます。残念なことに、こういった悪意のあるコードの有無をプロキシログから明確に抽出することは困難です。しかしながらピンポイントで特定することは無理だとしても、以下のような特徴を持つログを調べることで、ある程度の予測は可能です。
- 「データタイプ」から「application/…」というタイプのログを調べる
- 上記で抽出したログからWindows Updateやウイルスパターンのダウンロード、著名なダウンロード先を持つログを省く
- 残ったログを精細に調査する
完全性に関して何らかの問題が発生しているようならば、以下のような対策を取る必要があります。
- ゲートウェイ型のアンチウイルスサーバを導入し、プロキシを経由するすべてのWebアクセスに対してウイルスチェックを行う
- プロキシサーバのアクセス制限機能を使ってダウンロード可能な「データタイプ」に制限を掛ける
- Webアクセスフィルタリングソフトを使って怪しいサイトへのアクセスはブロックする
Webプロキシログ利用時の考慮点
ここまで簡単な例を用いてWebプロキシログの分析方法を説明してきました。最後にプロキシのログを使うに当たっての考慮点をまとめておきます。
不要なログの排除
Webプロキシログはファイアウォール等のログと比べかなり大量に出力されます。Webアクセスを行った場合、一見したところ画面上では1つのページを表示しただけのように見えますが、実はJPEGやGIF、PNGといったイメージを取得するためのアクセスを裏で盛んに行っており、これらの1つ1つのアクセスがログとして出力されます。一般的にWebプロキシログの5割から6割がこういったイメージアクセスのログです。こういったログを排除するためにはmime−typeフィールドがimage/xxx(xxxはgifやpngといったキーワードが入ります)のものを読み飛ばす必要があります。
正確であること
ファイアウォールの回でも述べましたが、ログは内容が正確であることが命です。NTP等の時刻同期ソフトを使って必ずサーバの時刻は正確に保つようにしてください。またログ改ざん防止のための手段を講じるようにしてください。
プロキシ経由以外のWebアクセスは禁止すること
すべてのWebアクセスは必ずWebプロキシを経由して行うようにファイアウォール等を使って制限してください。もしもWebプロキシを経由しないアクセスを許してしまうと、そこからのアクセスがログに残らないため、ログ解析そのものが無意味になってしまいます。
著者紹介
▼著者名 林 和洋(はやし かずひろ)
セキュリティベンチャー企業、監査法人系コンサルティング会社を経て株式会社セキュアヴェイルに入社。現在は東京オフィスマネージャーとしてログ解析サービスをはじめとしたセキュリティサービスに従事。公認情報システム監査人(CISA)。
▼著者名 三木 亮二(みき りょうじ)
製造業情報システム部門、独立系SI企業においてセキュリティ関連のコンサルティングに従事後、株式会社セキュアヴェイルに設立メンバーとして参加。現在はセキュリティサービスの企画・技術の責任者。副社長兼CTO。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- AI市場は約7000億円規模に 2024年以降の成長率はどう推移する? IDC予測
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
ITmediaはアイティメディア株式会社の登録商標です。