第2回 PCのログ分析で見えてくるもの


伊藤 直喜
ALSOK 開発企画部
2011/1/19
PCやネットワーク機器、あるいは入退室管理システムなどが生成するログには、セキュリティ対策を進めるために有用な情報が含まれている。その活用方法を紹介していく。(編集部)

 PCのログ分析から見えてくるもの

 PCのログを分析すると、誰がどんな操作を行ったのか、システムがどういう状態にあるのかが見えてくる。

 情報漏えい事故が発生し続けている今日、漏えいリスクの調査と対策立案のために、まず、PCがどのように使われているかを把握することが、安全なPC環境実現への第一歩となる。

 ログの取得と付加機能

 PCの動作には、利用者の操作に起因するものとそうでないものがある。後者はOSを含めたソフトウェアによる動作で、バックグラウンドで行われている。

区分
取得できるログの例
利用者の操作
 ・ログイン/ログアウト
・プログラムの起動
・ファイル操作(開く/閉じる/コピー/削除など)
・Webアクセス
バックグラウンドの動作 ・サービスの動作(起動/停止)
・スケジュールされたタスクの実行結果
・ハードウェアの認識や初期化
・ネットワークの設定(DHCP)
表1 取得できるログの例

 Windowsでは、これらのPCのログは管理ツールのイベントビューアで見ることができる。
画面1 イベントビューア画面例

画面2 ポリシー設定画面例

 実際にログを見ていただければ分かると思うが、ログの内容を理解するには、システムの動作についての知識が必要である。また、利用者の操作に関するログについても、どのデータに対してどのような操作を記録するかというポリシーをあらかじめ設計し、設定しておく必要がある。これは少々複雑であり、組織のPCをきちんと同一のポリシーで運用するように管理できる体制を整備しておくことが必要だ(Windows環境では、Active Directoryによりポリシーを統一した運用が可能だが、ここでは詳細は割愛する)。

 また、ログを取得するポリシーを設定しても、そのログを効率的に分析する仕組みまではWindowsの標準機能としては搭載されていないため、活用が難しい。PCのログを取得するだけでなく活用する環境を整えようとした場合、やはり、市販のログ管理製品やサービス(SaaS)を導入する方法が近道である。

 製品とサービスを比較すると、システムを自前で構築/運用する必要があるかないかという点が大きく異なる。製品の場合は、ログを収集するサーバを構築する方法が一般的であるのに対し、サービスではこの部分が不要となる。

 また、どちらもログの分析を行うには、ある程度のノウハウが必要となる。中には分析の部分までアウトソーシングできるサービスを提供している事業者もあるので、ログをどう管理してよいか分からない場合には、このようなサービスを利用する方がいいということになる。

 このとき、インターネットを利用してログを送信する場合に注意したいのが、ログの機密性の確保である。平文のログをそのままインターネットで送信すると盗聴のリスクがある。どのような情報漏えい対策をとっているか、事前に確認するべきだろう。もし平文のままログを送信する仕様であれば、別途VPN回線を用意するなどの対策を検討する必要がある。
製品
サービス
メリット
 ・組織に合わせた柔軟な設定が可能 ・システムの運用は、サービス提供側に任せることができる
・少数のPCで利用する場合、コストメリットがある
デメリット ・サーバの管理など、システムの運用が必要となる ・機能の設定に制約がある場合がある
表2 製品とサービス(SaaS)の比較

 ログ管理製品(サービスも含む)は、ログを取得して自動的に集計する機能を提供するものが基本だった。しかし最近は、付加機能を搭載した製品も登場している。代表的な機能を2つ紹介する。

 1つ目は「資産管理情報(インベントリ)収集機能」である。これは、PCのハードウェアやソフトウェアに関する情報を取得することで、PCそのものの管理やソフトウェアのライセンス管理に役立てることができる。

区分
取得できる情報の例
ハードウェアの情報
 ・メモリ容量
・CPUの種別
・HDDの容量と空き容量
・リースや保守の契約期間
ソフトウェアの情報 ・OSのバージョン
・パッチの適用状況
・インストールされているソフトウェア
表3 インベントリの例

 2つ目は「ソフトウェアの起動制限機能」である。これは、ブラックリスト方式もしくはホワイトリスト方式により、企業が許可していないソフトウェアを強制的に使用できないよう制御する機能だ。利用者が勝手にクライアントPCにソフトをインストールして使ったり、マルウェアが動作するのを防ぐことができる。PC上で動作しているプロセスを監視すれば、インストールが不要なソフトウェアでも、起動を検知して自動的に停止させることが可能となる。

 ログ管理製品は一般的に、エージェントソフトのインストールを前提にしている。このエージェントがシステムに与える影響を気にする方もいるだろう。結論をいえば、普段PCを使うに当たり、体感的な変化は感じられない場合が多い。ただしバッチ処理など、短時間に大量のファイルへアクセスする処理ではパフォーマンスが低下することがあるので注意が必要である。

 ログ自体の形式もテキストベースの場合が多く、容量は1レコードでせいぜい数百バイト程度である。しかし各PCから一斉に通信が行われると、突発的にネットワークの負荷が高くなる可能性があるので、対策を確認しておくとよいだろう。例えば、一定のレコード数が蓄積されると随時送信を行うなど、送信がランダムに行われるものであれば、ネットワーク上も体感的な影響は少ない。とはいえ、もともと帯域が狭いネットワークの場合は注意が必要である。

 システムやネットワークへの影響については、評価版を利用して事前に確認すると、より確実である。

1/2

Index
ここまで分かる! ログの神髄
Page1
ログ――それを捨てるなんてもったいない
多種多様な「ログ」
  Page2
ログ取得、5つのポイント
ログからつながる3つの使い方

ログ使ってない? もったいない! バックナンバー


「ログ使ってない? もったいない!」連載インデックス

TechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

キャリアアップ

- PR -
@IT Sepcial
→ @IT Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る
- PR -

お勧め求人情報

ホワイトペーパーTechTargetジャパン

@IT Sepcial
→ @IT Special ヘ
ソリューションFLASH