PART3 「漏えい検知/犯行のトレース」の実施方法「性悪説」による機密・個人情報漏えい対策 第2部(2/4 ページ)

» 2005年02月22日 09時00分 公開
[園田法子、橘田明雄、卯城大士(チェック・ポイント・ソフトウェア・テクノロジーズ),N+I NETWORK Guide]

1.物理的なアクセス・ログ

 物理的な人や物の動きを記録する。たとえば、サーバ室への入退室のログを見れば、誰が物理的にサーバを操作し、不正アクセスを行う可能性があったのかの特定が可能になる。また、サーバ自体にICタグのような識別子をつけておくことで、物理的な盗難が発生した際も追跡ができる(リスト1)。

取得対象:サーバ室への入退室、出社・帰社状況など

ログ内容:入退室時間、ユーザー、入室の試み(認証)、出社・帰社時間など

リスト1 リスト1●物理的なアクセス・ログ(入退室の例)

2.アプリケーション・ログ

 個別のアプリケーションにおける動作状況を記録する。個々のアプリケーションに依存する部分も多いが、きめ細かなアクセス・ログを取得可能である。利用ユーザーの把握、使用頻度など、現状の把握に役立つ。また、Webサーバのログのように、誰がどのファイルにアクセスしたのかを特定することが可能であり、不正アクセスが発生した場合の追跡にも利用できる(リスト2)。

取得対象:Web、データベース、メールなど

ログ内容:利用ユーザー、アクセス時間、アクセス先(内容)、参照レコード、アクセス回数、アクセスデータ量、アクセスユーザー、権限外のアクセスの試み(エラー)、操作内容、ファイル操作など

リスト2 リスト2●アプリケーション・ログ(Webの例)

3.ホスト・ログ

 各ホストにおける操作・動作を記録する。たとえば、コマンド実行ログを参照することで、ホスト上でどのような操作が行われたのかを確認できる。ワームやウイルスに感染すると、ホスト上に自分自身の複製の作成、システムファイルの改ざんなどが行われることがある。ファイルアクセスの記録によって、このような攻撃を検知可能となる。ただし、OS標準の機能では、このような詳細なログは取得できないことが多い。その際は、専用のツールが利用される(リスト3)。

取得対象:OSなど

ログ内容:起動、停止、ログイン、ログアウト、ハードウェアの追加/削除、アプリケーション・インストール/アンインストール、アプリケーション(コマンド)起動/停止

リスト3 リスト3●ホスト・ログ(コマンドの例)

4.ネットワーク・ログ

 ネットワークに関する通信内容や接続状況などを記録する。これにより、ネットワークに関するアクティビティを把握可能だ。たとえば、ファイアウォールによるアクセス・ログの通信元と通信先の情報によって、不正アクセスによる通信がどこから行われたかなどを識別できる。さらに、特定の通信の内容をすべて記録しておけば、不正アクセスの手法を解析することも可能だ(画面1)。

取得対象:DHCP、ファイアウォールなど

ログ内容:ネットワーク接続ユーザー(MACアドレス、認証)、通信元、通信先、通信アプリケーション(ポート)、通信量、通信内容

画面1 画面1●ネットワーク・ログ(ファイアウォールの例)

 ご覧のように、数多くの細かなログがあることがわかるだろう。また、ここで取り上げたものがすべてではなく、これ以外にも多くのログがある。これらのログを取得すればするほど、情報量は多くなる。しかし、管理者にとって、すべての詳細なログを取得することは必ずしもよいことではない。大切なログが大量のログの中に埋もれてしまい、不正アクセスを見逃してしまうかもしれないのだ。

 また、取得したすべてのログを参照し、内容を検討することは現実的ではない。取得したログを効率的に分析するためには、ログをレポート化すると便利である。たとえば、ネットワークアクセス・ログを見た場合、あまりに膨大な情報量となり、これだけでは現状の把握は難しい。しかし、これを発信IPごとの通信量、発信IPごとの通信回数、アプリケーション(ポート)ごとの通信回数などのようにレポート化することで、ネットワークのアクティビティを把握しやすくなるのである。

 さらに、レポート化することによって、生のログを見るだけではわからない情報に気づくこともある。たとえば、ネットワークアクセス・ログでの通信ログからレポートを作成し、通信元IPアドレスによる日ごとのアクセス数の推移を示すレポートを求めてみた(図3)。

図3 図3■レポートの例

 この例を見ると、4月8日を境に、急激にアクセス数が増えているのがわかる。何らかのアクティビティの変化があったと想像できる。また、認証失敗の数が急激に増えたといったような状況が発生すれば、何者かが不正にシステムへアクセスしようとしているのではないかという想像も可能だ。

 このように、ログおよびレポートを活用することで、現状を把握するとともに、疑わしいアクティビティの検出にも役立つのである。

 このほか、それぞれのログの内容に重要度を設け、緊急性の高いものはアラートして管理者へ連絡し、よりリアルタイムに攻撃を検知することも必要だ。また、ログの内容をモニタし、特定の情報(認証の失敗数など)がしきい値を超えたような場合にアラートを送るといった、機械的にログを処理し異常を検知するツールもある。管理者の方は、このようなツールも活用してほしい。

いかにIDS/IDPを効果的に使うかが課題

© Copyright 2001-2005 Fawcette Technical Publications

注目のテーマ