連載	ゼロから分かるログ活用術（4）

プロキシログを使った勤怠管理法

セキュアヴェイル
林 和洋
三木 亮二
2005/2/5

-

機密性について

　 インターネットのWebサーバを使えば、自分のPCから有用な情報が簡単に入手できる半面、掲示板サイトへの書き込みや無料のWebメールによって情報が漏えいしてしまうといったマイナスの面も存在します。下記に示す項目をプロキシのログから調査し該当者に警告することで、こういった情報漏えいにつながる行為を未然に防ぐことが可能です。

• 「外部Webサーバ」に「2ch」や「hotmail.com」といった代表的な書き込みサイトやWebメールサイトへアクセスしているログを調べる
• 「アクセス方法」に「put」や「post」といったデータのアップロード手法を使ったログを調べる
• 「日時」から祝日や休日、もしくは夜間に頻繁にアクセスを行っているログを調べる
• 「転送データ量」から大量のデータ転送（例えば何十Mbytes）を行っているログを調べる
• 「接続元PC」から同一PCを使って頻繁にアクセスしているログを調べる

　上記の条件に該当するものが必ずしも情報漏えいにつながるとは言い切れませんが、複数の条件に該当するような場合には注意を要します。

　一例として掲示板サイトでは代表的な2ちゃんねるへのアクセス例を見てみます。「外部Webサーバ」項目に「.2ch.net」という文字を含むログを検索して集計してみると、以下のような結果を得ることができます。

	あて先サーバ	ログ件数
1	pc5.2ch.net	31
…	…	…
35	tv.2ch.net	1
36	tv6.2ch.net	1
総合計		172

　情報関連部門であれば、1番のようなWebサイトへのアクセスは業務関連と考えることもできますが、35／36番に見られるようなテレビ関連サイトへのアクセスは本来不要なはずです。35番のログについて詳しく調査してみると、「2004年10月17日の午前05:39:49に172.16.254.18というPCからhttp://tv.2ch.net/cm/kako/1027/10271/1027104965.htmへアクセスした」ものだということが分かりました。

　このログ情報を基に、情報システム部門のマネージャとしてはPC（172.16.254.18）の所有者に対して該当時間帯のWebアクセスの目的を確認し、業務目的外の使用であれば社のセキュリティポリシーにのっとり対応をすることが求められます。

　機密性に関して何らかの問題が考えられるような場合には、以下に示すような対策が必要となります。

・ファイアウォールを使い下記の制限を行う

→不要なサイトへのアクセスをブロックする
→ユーザー認証を行い、セキュリティポリシーに違反するようなユーザーはユーザー登録を削除する

・Webアクセスフィルタリングソフトを使い下記の制限を行う

→業務関連以外へのアクセスはブロックする（ブラックリスト）
→業務時間外等、時間帯を限ってアクセスを許可する
→指定したWebサーバへのアクセス以外はブロックする（ホワイトリスト）
→ユーザー認証を行い、ユーザーごとにアクセス可能なサーバを制限する

-

完全性について

　プロキシ経由でのWebアクセスにおいて完全性を考える場合、ウイルスやワーム、スパイウェアといった悪意のあるコードのダウンロードによる被害が大きな割合を占めます。残念なことに、こういった悪意のあるコードの有無をプロキシログから明確に抽出することは困難です。しかしながらピンポイントで特定することは無理だとしても、以下のような特徴を持つログを調べることで、ある程度の予測は可能です。

• 「データタイプ」から「application/…」というタイプのログを調べる
• 上記で抽出したログからWindows Updateやウイルスパターンのダウンロード、著名なダウンロード先を持つログを省く
• 残ったログを精細に調査する

　完全性に関して何らかの問題が発生しているようならば、以下のような対策を取る必要があります。

• ゲートウェイ型のアンチウイルスサーバを導入し、プロキシを経由するすべてのWebアクセスに対してウイルスチェックを行う
• プロキシサーバのアクセス制限機能を使ってダウンロード可能な「データタイプ」に制限を掛ける
• Webアクセスフィルタリングソフトを使って怪しいサイトへのアクセスはブロックする

-	Webプロキシログ利用時の考慮点

　ここまで簡単な例を用いてWebプロキシログの分析方法を説明してきました。最後にプロキシのログを使うに当たっての考慮点をまとめておきます。

■不要なログの排除

　Webプロキシログはファイアウォール等のログと比べかなり大量に出力されます。Webアクセスを行った場合、一見したところ画面上では1つのページを表示しただけのように見えますが、実はJPEGやGIF、PNGといったイメージを取得するためのアクセスを裏で盛んに行っており、これらの1つ1つのアクセスがログとして出力されます。一般的にWebプロキシログの5割から6割がこういったイメージアクセスのログです。こういったログを排除するためにはmime−typeフィールドがimage/xxx（xxxはgifやpngといったキーワードが入ります）のものを読み飛ばす必要があります。

■正確であること

　ファイアウォールの回でも述べましたが、ログは内容が正確であることが命です。NTP等の時刻同期ソフトを使って必ずサーバの時刻は正確に保つようにしてください。またログ改ざん防止のための手段を講じるようにしてください。

■プロキシ経由以外のWebアクセスは禁止すること

　すべてのWebアクセスは必ずWebプロキシを経由して行うようにファイアウォール等を使って制限してください。もしもWebプロキシを経由しないアクセスを許してしまうと、そこからのアクセスがログに残らないため、ログ解析そのものが無意味になってしまいます。

2/2

index ゼロから分かるログ活用術（4） 　プロキシログを使った勤怠管理法

Page 1 はじめに ログ分析の前提知識 システム管理部門としてのニーズ 可用性について Page 2 機密性について 完全性について Webプロキシログ利用時の考慮点

■要約 最近のシステムではセキュリティ確保に重点が置かれており、可用性、機密性、完全性が求められている。これらの要素を満たすためのプロキシログの利用法を紹介する。 プロキシログを調べていくと、社内ネットワークリソースの利用分布が分かる。調べると「月初めが多い」「土日が少ない」「12時ころがピーク」など、会社ごとの利用状況が分かるので、これらのデータを基に回線品質を調整することができる。 機密性においては詳細にログを調べることで、掲示板の利用など、情報漏えいにつながる可能性のあるインターネット利用者を特定することができる。この後、情報システムマネージャは該当者にWebアクセスの目的を問うことで、セキュリティポリシーに沿った対応を実施することが可能だ。このほか、画像ファイルのやり取りに関するログを削除したり、時間を正確に保つなど、ログ利用上の注意点もいくつか存在する。

▲記事の先頭<Page1>に戻る

profile

林 和洋（はやし かずひろ） セキュリティベンチャー企業、監査法人系コンサルティング会社を経て株式会社セキュアヴェイルに入社。現在は東京オフィスマネージャーとしてログ解析サービスをはじめとしたセキュリティサービスに従事。公認情報システム監査人（CISA）。 三木 亮二（みき りょうじ） 製造業情報システム部門、独立系SI企業においてセキュリティ関連のコンサルティングに従事後、株式会社セキュアヴェイルに設立メンバーとして参加。現在はセキュリティサービスの企画・技術の責任者。副社長兼CTO。

■記事の「要約」がメールで読めます■ 記事の「要約」を毎週水曜日にメールでお届けしています。 下の「＠IT情報マネジメント メールマガジン」からお申し込みください。 サンプルを見る

＠IT情報マネジメント メールマガジン　情報マネージャのための情報源（無料）