サボり監視から不正アクセス防止まで−ログ活用法：ゼロから分かるログ活用術（2）（2/3 ページ）

[林 和洋（セキュアヴェイル）, 三木 亮二（セキュアヴェイル），＠IT]

通信の方向を確認

　通常、ファイアウォールのログは以下の図のように表示されています。この例はCheckPoint社のFireWall-1のログです。

CheckPoint社のFireWall-1ログの一例。ここからさまざまな情報を得ることができる

　まず、「Source」の項目を見ます。ここで、通信の方向を確かめることができます。ファイアウォールのログに残されている通信が内部から外部への通信なのか、外部から内部への通信なのか、その方向によって後の対処方法は違ってきます。注意すべき点として、ファイアウォールの設定で「Source」アドレスの偽造防止機能（通常アンチスプーフィング機能と呼ばれます）は必ず有効にしておいてください。アンチスプーフィング機能を無効にしてしまうと、ログを見たときに内部通信か外部通信かの区別がしにくくなるだけではなく、場合によってはファイアウォールを通過して内部にアクセスされてしまう危険性があります。

外部からの不正アクセス

　「Source」欄が外部のアドレスで、「Action」欄にDropまたはRejectと表示されているログに着目してみます。これは、ファイアウォールのルールで許可されていない通信が外部から内部に試みられたことを示しています。つまり、企業のセキュリティポリシーに合致しない不正なアクセスの可能性が考えられます。さらに、1カ月間の外部からの不正アクセスを集計すると、以下のような結果が得られました。

不正アクセスアドレス	回数	ドメイン名
192.150.***.***	1530	*** Systems Inc.（米）
210.196.***.***	856	*** Net（米）
219.144.***.***	745	*** Inc（中国）
218.148.***.***	568	***NET（韓国）
210.224.***.***	525	***.***.ne.jp（日本）
61.138.***.***	512	***-***-com（中国）
61.150.***.***	480	***NET（中国）
61.243.***.***	455	***COM （中国）
192.150.***.***	438	********Inc.（米）
61.81.***.***	388	****net（韓国）

　この結果を基に不正アクセス対策を施していくことになります。しかしながら、DropもしくはRejectされた通信が必ずしも不正アクセスであるとは限りません。Webアクセスを途中でキャンセルした場合や、しばらく通信をしないで放置しておいたような場合には往々にしてDropやRejectのログが出力されます。不正アクセスを見極めるための第一歩はこういった不正アクセスではないログ（フォールスポジティブ）を排除することです。不正アクセスログの一般的な特徴を挙げると以下のようになります。

1. 同じソースアドレスを持つ大量のDropもしくはRejectログが発生している。
2. 短時間のうちに同じソースアドレスから複数のあて先アドレスに対してDropもしくはRejectログが発生している。
3. 短時間のうちに同じソースアドレスから複数のあて先ポート（サービス）に対してDropもしくはRejectが発生している。
4. 夜間や休日といったあまりアクセスのないような時間帯に頻繁にアクセスを試みている。

　これらの条件に1つでも当てはまるものがあれば、次にそのソースアドレスを持つログでアクセプトされたものがないかどうかを個別のログで調べます。アクセプトされているログがあれば、あて先アドレスおよびあて先ポート（サービス）に該当するマシンのログを調べ、不正アクセスの痕跡がないかどうかを確認します。もしも不正アクセスの痕跡があるようであれば、ファイアウォールのルールにおいて該当のソースアドレスからの通信はすべてDropするように設定した後、該当マシンのクリーンインストールやほかのマシンに影響がないかの調査などを行っていきます。