目的の明確化が、ログ活用の必須条件:特集:ログ管理インタビュー(4)
ログ管理の重要性を認識していても、どんなログを取り、どう使えばいいのか分からないといった声が多い。情報セキュリティ対策のコンサルティングサービスを提供しているラックの清水和幸氏は、「自社ではどんなITシステムを使って、どんな業務を、どう遂行しているのかを見直すと、取得・管理すべきログがみえてくる」とアドバイスする。
ログを取る目的を考えよう
内部統制や情報セキュリティ対策の必要性の高まりを受けて、多くの企業がログの取得に乗り出している。昨今はSaaS提供のログ管理製品も登場するなど、中堅中小企業にとっても取り組みやすい状況が整いつつあるようだ。だが、ログを取得しても、それを活用するノウハウについてはまだ浸透しているとはいえない。
情報セキュリティ対策のコンサルティングを行っているラックのインテグレーションサービス部 部長 清水和幸氏は、こうした状況について次のように解説する。
「企業のセキュリティ担当者の多くは、セキュリティ対策についてよく学んでおり、ログ管理についても豊富な知識を持っている。ただ、ログ管理の必要性は認識しているものの、どんなログをどう使うのかという実践的なレベルにまでは理解が至っておらず、ツールを導入しても、さまざまなログをただ漫然と集めているだけといったケースが多い。これではせっかくログを取っても、そこから何らかの意味や兆候を見出すことはできない」(清水氏)
例えば、ITシステムのログイン/ログアウトの記録を残すアカウンティングログだけを見ても、不正アクセスの兆候を見抜くことはできない。何度もログインに失敗した形跡があったとしても、それが故意によるものか、単なる入力ミスなのか、アカウンティングログだけでは判断できないためだ。
しかし、認証をかけた際のロケーション情報が得られる、アクセスポイントのログと併せてチェックすると、アカウンティングログはがぜん意味を持つ。ログインに何度も失敗したユーザーがどこからアクセスしていたのか??オフィスや会議室など、そのユーザーがアクセスするのに不自然ではない場所からであれば、単なる入力ミスの可能性が高い。しかし、社外など不自然な場所からのアクセスなら、ユーザー以外の第三者が不正アクセスを試みた可能性があると推測できる。
「実際にはこれほど単純ではないが、ログを活用する最大のポイントは『何を、どんな脅威から守るのか』という目的に応じて、それに必要な複数のログデータを取得し、それらの相関関係から総合的に判断することにある。しかし、こうしたことを認識せず、ログを取得・管理すること自体が目的化してしまっているケースが多い。知識はあっても実践に落とし込めていない印象だ」(清水氏)
自社のIT資産を把握し、何を、どんな脅威から守るのかを明確に
では、ログを有効に生かすためには、どのように取り組めばよいのだろうか。清水氏は3つのポイントを指摘する。1つは目的の明確化だ。
「前述のように、まずは社内のどのIT資産を、どんな脅威から守るのか、ログを取得・管理する目的を明確化することが先決だ。例えば、『サーバに対する不正アクセスを防ぐ』という目的が設定してあれば、不正アクセスを見抜くためにはどんな手掛かり??すなわち、どんなログが必要なのか、自ずと導き出しやすくなる。そのうえで各種ログを集めれば、相関関係から不正アクセスか否かを総合的に判断することができる」
目的の明確化以前の問題として、「自社のIT資産を把握しておくことが大前提」とも付け加える。
「自社にはどんなITシステムがあり、どのように構成し、どの部門が、どう活用しているのか、IT資産を明確に把握していなければ、どの資産を、どんな脅威から守るのか、検討することはできない。IT資産の棚卸しはセキュリティ対策に限らず、ITシステムを有効活用するための鉄則だが、これが実際にはなかなかできていないケースが多い。ログ管理を行ううえでは、まず自社のITインフラから見直す姿勢が大切だ」(清水氏)
2つ目は「ツール任せにせず、最終的には人が判断するという認識を持つこと」。例えば、アカウンティングログとアクセスポイントのログを取得し、すべてのユーザーが、然るべき場所からスムーズに認証をパスしていることを確認しても、まだ不正の兆候がないとは言い切れない。
例えばシステム管理者なら、特別権限を使ってさまざまなシステムにアクセスできる。しかし『何日の、この時間に、このシステムに、システム管理者がアクセスする必要性があったのか』という観点でみると、業務のためだったのか、業務上の必要性がないにもかかわらずアクセスしていたのか、その時点における情報システム部門の業務内容や、そのシステム管理者の担当業務など、業務上の情報に基づいた総合的な判断が不可欠となる。つまり、不正の兆候を見出すための最終的な判断は、人間にしか行うことはできない。
「セキュリティリスクの定義は各社各様。業務内容やオペレーションの在り方によって、ある操作が、A社にとってはリスクとなっても、B社にとっては正当な範囲というケースはままある。従って自社の業務環境を知り抜いているユーザー自身が、リスクの判断基準を明確化しておかなければならない。それをツールのログ取得ポリシーに反映しても、ツールが担うのはポリシーに沿ってログを取得・管理し、判断の手掛かりを提供するところまで。各種ログから最終的に判断するのは人間だという認識は決して忘れてはならない」(清水氏)
そして3つ目は「継続的なモニタリング」だ。ログを取得する目的を明確化し、ログの取得ポリシーをツールに設定しておいても、業務の状況は日々変わっていく。これに対して、常に一定の基準でログを取得・管理するだけでは、業務の実態とのズレが生じてくる。
例えば、製品設計書など、機密情報ファイルの平均的なデータ容量を基に、「電子メールの添付ファイルが3.5Mbytes以上の場合は、機密情報漏えいのリスクに備えて、その送信ログを残す」といったルールを設けても、機密情報ファイルを守るという目的に対して、「3.5Mbytes以上」というログ取得基準が常に適切とは限らない。
清水氏は「業務の状況に応じて、ログの取得ポリシーを随時変えていく必要がある。常にログを取得する目的を見据え、その達成に最適な形にツールを調整していくことが大切だ。むろん、異常事態の兆候を早期に発見するうえでも、継続的なモニタリングは大きな意味を持つ」と解説する。
自社の業務とITシステムの使い方を見直してみよう
なお、近年は監視カメラや入退室管理システムなどの物理ログと、ITシステムログを連携させる方法も注目を集めつつある。あるユーザーがITシステムにログインした時間と、そのユーザーがPCを操作している姿を監視カメラが記録した時間を付け合せることで、「正当なアクセス権限を持つ人間が操作している」ことの証明とするものだ。
ただ、清水氏は「ツールが進化しても、『目的に基づいてログを取得し、ログ同士の相関関係から最終的に人が判断する』という基本は変わらない。今後登場してくるであろうツールを使いこなすためにも、まずは小さな規模で、ログ管理の質を高めることに取り組んでみてはどうだろう」と提案する。
例えばIPS(侵入防止システム)、ファイアウォール、LDAP、ネットワークデバイスなど、監視する対象を絞ってログを取り、そこから何が読み取れるのか、資産を守れるだけの情報が取れているかをチェックする。清水氏は「その過程で、不正の兆候を見抜くにはどんなログが必要かなど、さまざまな課題がみえてくる。小さな規模でハイレベルな取り組みを目指し、そのうえでほかのシステムに横展開していくと効率的だ」と解説する。
また、いざ取り組もうとしても、どんなログを取ればいいのか分からないといった声が多いことにも触れ、「そもそもログ管理とは、ITシステムを適切に使い、業務を正当に行っているという証明を残すための取り組み。どんな行為を疑うべきかと考えるのではなく、前述のように、自社はどんな業務を、どんなITシステムを使って、どのように遂行しているのか、何がリスクとなり得るのか、という基本的な要素を見直すアプローチで考えるべき。それによって大きなヒントがつかめるはずだ」とまとめた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.