サボり監視から不正アクセス防止まで−ログ活用法:ゼロから分かるログ活用術(2)(3/3 ページ)
内部からの不要な通信
ファイアウォールというと、外部からの不要な通信をブロックするというイメージが強いのですが、「Source」欄が内部アドレスの通信に着目すると、企業内で起こった事象も確認することができます。「Source」欄が内部のアドレスで、「Action」欄にDropまたはRejectと表示されているログに着目してみましょう。このようなログをプロトコル別に集計したグラフの例を以下に示します。
内部から外部へ向かう通信ログの例。この場合、UDP/1900番が異常に多いことが分かるこのグラフと見ると、内部から外部へ向かう通信の99%がUDP/1900番の通信であることが分かります。UDP/1900番の通信とは、マイクロソフトのUniversal Plug and Playです。企業のセキュリティポリシーによりますが、この通信は通常業務では使用していないサービスのものです。このような通信が増加していくと、ほかの正常な通信に悪影響を及ぼすことが懸念されます。「Source」欄を確認することにより、社内の誰が使用しているPCから送信されている通信かを確認し、使用者に設定変更を依頼することができます。
ファイアウォールのログ設定を再考する
これまでに、ファイアウォールのログの簡単な分析方法を見てきました。しかし、ログ分析を行おうとしても、十分な準備をしておかなければ、望ましい結果は得られません。次に、ファイアウォールのログ分析を行う前の準備のポイントを説明します。
必要なログだけを取得すること
ファイアウォールのログの種類や量が多過ぎると、本来必要なログが埋もれてしまい、有用な分析結果が得られない恐れがあります。そのため、ログを取得するか取得しないルールを設定することで、必要なログだけを記録するようにします。しかし、初めのうちから必要なログだけを取得するように設定することは難しいものです。ログ分析を繰り返すにつれ、分析に必要な切り口が明確になってくることも多々あります。実際には、試行錯誤を重ねて、ファイアウォールのログ取得設定を変更しながら運用していくことになるでしょう。
すぐに取り出せる状態にしておくこと
分析作業をスムーズに行うために、日ごろから整理整とんされた状態でファイアウォールのログを保存しておくことが大切です。いざ分析作業を進めようと思ったときに、どのログファイルが対象か分からない、ログファイルの容量が多過ぎて分析できない、ということがないように注意しなければなりません。例えばスクリプトなどを活用し、適切なタイミングで定期的に新しいログファイルを作成します。ログ容量や分析期間などによって、1つのログファイルの対象期間は1日または1週間が一般的です。また、ログファイル名には日付を付けるといった決まりを作っておくことが重要です。引き継ぎ資料として明文化しておけば、将来の混乱を避けることができます。
正確であること
ログ分析を行っても、元のログが不正確では得られる結果も無意味なものになってしまいます。正確なログを取るためのポイントは、時刻の同期と改ざんの防止です。
まず、ログは基本的に時系列的に記録されます。そのため、ファイアウォールで正確な時刻が設定されていなければ、現実から懸け離れた結果しか得られない可能性があります。また、ほかのアプリケーションのログと組み合わせて分析を行う場合、通常は時刻を目安にして必要なログを抽出します。従って、ファイアウォールだけでなく、ログ分析を行うアプリケーションでは、常に正確な時刻を設定する必要があります。大半のプロバイダでは時刻同期用のサーバ(NTPサーバ)をサービスとして提供していますので、プロバイダに確認してみてください。UNIX系のサーバであればntpdと呼ばれるツールをインストールすることで、正確な時刻同期ができるようになります。
また、ログファイルの改ざん防止策を施しておくことも重要です。ログファイルには取り扱いを許可された者のみがアクセスできるように、コントロールを実施します。さらに、元のログファイルが変更されていたら“変更されたログファイル”と判別できるように、ハッシュ関数などを保存しておけば安心です。改ざん検知用の代表的なツールとしてはTripwireと呼ばれるソフトがあります。
次回は、使い方次第で掲示板への書き込みやWebメールの使用状況も確認できる、プロキシサーバのログ活用方法を紹介します。
著者紹介
▼著者名 林 和洋(はやし かずひろ)
セキュリティベンチャー企業、監査法人系コンサルティング会社を経て株式会社セキュアヴェイルに入社。現在は東京オフィスマネージャーとしてログ解析サービスをはじめとしたセキュリティサービスに従事。公認情報システム監査人(CISA)。
▼著者名 三木 亮二(みき りょうじ)
製造業情報システム部門、独立系SI企業においてセキュリティ関連のコンサルティングに従事後、株式会社セキュアヴェイルに設立メンバーとして参加。現在はセキュリティサービスの企画・技術の責任者。副社長兼CTO。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。