インターネットのWebサーバを使えば、自分のPCから有用な情報が簡単に入手できる半面、掲示板サイトへの書き込みや無料のWebメールによって情報が漏えいしてしまうといったマイナスの面も存在します。下記に示す項目をプロキシのログから調査し該当者に警告することで、こういった情報漏えいにつながる行為を未然に防ぐことが可能です。 ?「外部Webサーバ」に「2ch」や「hotmail.com」といった代表的な書き込みサイトやWebメールサイトへアクセスしているログを調べる
上記の条件に該当するものが必ずしも情報漏えいにつながるとは言い切れませんが、複数の条件に該当するような場合には注意を要します。
一例として掲示板サイトでは代表的な2ちゃんねるへのアクセス例を見てみます。「外部Webサーバ」項目に「.2ch.net」という文字を含むログを検索して集計してみると、以下のような結果を得ることができます。
あて先サーバ | ログ件数 | |
---|---|---|
1 | pc5.2ch.net | 31 |
… | … | … |
35 | tv.2ch.net | 1 |
36 | tv6.2ch.net | 1 |
総合計 | 172 | |
情報関連部門であれば、1番のようなWebサイトへのアクセスは業務関連と考えることもできますが、35/36番に見られるようなテレビ関連サイトへのアクセスは本来不要なはずです。35番のログについて詳しく調査してみると、「2004年10月17日の午前05:39:49に172.16.254.18というPCからhttp://tv.2ch.net/cm/kako/1027/10271/1027104965.htmへアクセスした」ものだということが分かりました。
このログ情報を基に、情報システム部門のマネージャとしてはPC(172.16.254.18)の所有者に対して該当時間帯のWebアクセスの目的を確認し、業務目的外の使用であれば社のセキュリティポリシーにのっとり対応をすることが求められます。
機密性に関して何らかの問題が考えられるような場合には、以下に示すような対策が必要となります。
・ファイアウォールを使い下記の制限を行う
→不要なサイトへのアクセスをブロックする
→ユーザー認証を行い、セキュリティポリシーに違反するようなユーザーはユーザー登録を削除する
・Webアクセスフィルタリングソフトを使い下記の制限を行う
→業務関連以外へのアクセスはブロックする(ブラックリスト)
→業務時間外等、時間帯を限ってアクセスを許可する
→指定したWebサーバへのアクセス以外はブロックする(ホワイトリスト)
→ユーザー認証を行い、ユーザーごとにアクセス可能なサーバを制限する
プロキシ経由でのWebアクセスにおいて完全性を考える場合、ウイルスやワーム、スパイウェアといった悪意のあるコードのダウンロードによる被害が大きな割合を占めます。残念なことに、こういった悪意のあるコードの有無をプロキシログから明確に抽出することは困難です。しかしながらピンポイントで特定することは無理だとしても、以下のような特徴を持つログを調べることで、ある程度の予測は可能です。
完全性に関して何らかの問題が発生しているようならば、以下のような対策を取る必要があります。
ここまで簡単な例を用いてWebプロキシログの分析方法を説明してきました。最後にプロキシのログを使うに当たっての考慮点をまとめておきます。
Webプロキシログはファイアウォール等のログと比べかなり大量に出力されます。Webアクセスを行った場合、一見したところ画面上では1つのページを表示しただけのように見えますが、実はJPEGやGIF、PNGといったイメージを取得するためのアクセスを裏で盛んに行っており、これらの1つ1つのアクセスがログとして出力されます。一般的にWebプロキシログの5割から6割がこういったイメージアクセスのログです。こういったログを排除するためにはmime−typeフィールドがimage/xxx(xxxはgifやpngといったキーワードが入ります)のものを読み飛ばす必要があります。
ファイアウォールの回でも述べましたが、ログは内容が正確であることが命です。NTP等の時刻同期ソフトを使って必ずサーバの時刻は正確に保つようにしてください。またログ改ざん防止のための手段を講じるようにしてください。
すべてのWebアクセスは必ずWebプロキシを経由して行うようにファイアウォール等を使って制限してください。もしもWebプロキシを経由しないアクセスを許してしまうと、そこからのアクセスがログに残らないため、ログ解析そのものが無意味になってしまいます。
▼著者名 林 和洋(はやし かずひろ)
セキュリティベンチャー企業、監査法人系コンサルティング会社を経て株式会社セキュアヴェイルに入社。現在は東京オフィスマネージャーとしてログ解析サービスをはじめとしたセキュリティサービスに従事。公認情報システム監査人(CISA)。
▼著者名 三木 亮二(みき りょうじ)
製造業情報システム部門、独立系SI企業においてセキュリティ関連のコンサルティングに従事後、株式会社セキュアヴェイルに設立メンバーとして参加。現在はセキュリティサービスの企画・技術の責任者。副社長兼CTO。
Copyright © ITmedia, Inc. All Rights Reserved.