連載
» 2004年11月02日 12時00分 公開

ゼロから分かるログ活用術(2):サボり監視から不正アクセス防止まで−ログ活用法 (1/3)

いまや90%以上の企業に導入されているファイアウォール。一般的には企業のセキュリティポリシーに従って、外部からの不要な通信をブロックするというイメージが強い。しかし、ファイアウォールのログにはそれ以外にもさまざまな利用方法がある

[林 和洋(セキュアヴェイル), 三木 亮二(セキュアヴェイル),@IT]

ファイアウォールのおさらい

 一般的にファイアウォールはインターネットと企業ネットワークの境界に設置されます。ファイアウォールの基本的な機能は、企業の定めたセキュリティポリシー(アクセスルール)に従ってパケットをフィルタリングすることです。ほとんどのファイアウォールでは、アクセスルールに合致する通信があった場合、ログとして記録するように設定できます。

 今回は以下の図のように構成されたファイアウォールのログについて考察してみます。おそらくほとんどの企業ではこのような構成を取っているのではないでしょうか。

ALT ファイアウォールを構成したシステムの例

インターネット利用状況を確認する

 ファイアウォールは、その目的から、どうしても防衛面のみが注目されがちです。しかし、ファイアウォールのログは、企業と外部とのあらゆるやり取りを映し出すものでもあるのです。企業内ネットワークからインターネット、インターネットから企業内ネットワークへ、というすべての通信は必ずファイアウォールを経由し、ログとして記録されるからです。従って、ファイアウォールのログを特定の切り口から一定期間集計することによって、その企業におけるインターネット利用の特徴を把握することができます。

 ここでは、企業全体としてどのようなプロトコルがどの程度利用されているかを調べてみることにします。分析に当たって、ファイアウォールのログからプロトコルを軸に取って集計します。自分でプログラムを作成することも考えられますが、商用製品を利用すると簡単に分析することができます。今回は、NetIQ社のSecurityReportingCenter(http://www.netiq.co.jp)というレポーティングツールを使用して分析してみます。

ALT 送信プロトコル利用状況の推移とプロトコル別送信トラフィックの例

 このレポートを見ると、1月13日(土曜日)や1月14日(日曜日)といった休日にWebアクセスやメールアクセス、RealAudioのアクセスのピークが来ていることが分かります。通常の企業であれば土日は休日のはずですので、会社の資産を使ってWebサーフィンなどを行っているという可能性も考えられます。

ALT 時間帯別に通信量を集計したレポート

 また上記のレポートは時間帯別に通信量を集計したレポートです。インターネットを利用している時間帯としては午前10時から午後2時の間であることが確認できます。またお昼休みの時間帯や午後4時から午後6時の間にもかなりのアクセスが見られることから、こういった時間帯にプライベートな利用がかなりあることが予想できます。

 このような分析結果を参考に、将来の需要予測を立て、情報システムのリプレイスやインターネット回線の増強計画、オフピーク時のメンテナンス時間帯の確保などに活用することができます。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -