第3回 御社のログ管理体制、見直してみませんか?
松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/8/17
ログの持つ意味は大きくなっている
ISMS(情報セキュリティマネジメントシステム)およびプライバシーマークを構築するに当たり、情報システムにおけるログ管理を導入する企業が増えてきました。
昨今では、日本版SOX法の法的要求事項を順守するために、従業員が財務諸表に関係する業務においてITを利用した場合に、業務を実施した証拠や改ざんなどの不正な操作が行われなかった証拠として、システムのログ管理も法が求める対策の1つとなっています。
ログ管理において、管理職などの権限のあるユーザーが承認した履歴があることで、従業員の操作が正しく行われたということが実証できます。しかし、上位の管理者の業務の実施状況については、本当にその管理者がその行為を実施したのかという証拠を示すことができません。
そのため、ログにてその証拠を担保するという目的からも、ログ管理の重要性が認識されています。ITの運用管理の観点では、ログはシステム管理者が本当に不正なことがなく作業を行ったということを証明するための証拠として取り上げられています。
管理職は職務上、大きな権限を持っています。しかし、大きな権限を持つということは、なんでも好きなことができてしまうというリスクをはらんでいます。
ログを取るならば個人を特定できるまで徹底する
ログを取得するための前提条件としては、一意の識別子であるユーザーIDを、その本人が使用しているということを確実にするシステムが導入されていることが必要です。
1人1人を識別するユーザーIDを付与していないと、ログを取得したとしても、有効に機能しない場合があるからです。例えば、部署で1つの共有IDを使用している場合、そのIDを使用している部署は絞り込めますが、その部署の誰が操作したのか、ログを分析しても判明することは難しいのです。
1つ事例を挙げて説明します。部署の中の1人が共有IDを使用し、PCを操作したとします。この場合、使用されたPCのMACアドレスやIPアドレスが分かったとしても、ログが記録されたその日、その時間帯にその人が会社の外にいたり、休みを取っていたとしたら、実際には誰が操作したのか、ログの情報だけでは分からないのです。忙しい業務の中では、見知らぬ誰かが席に座ってPCを操作していても気が付かない場合もあるかもしれません。推理小説や映画の世界の話のように感じているかもしれませんが、現実に、このようなことは起きているのです。
そのためにも、従業員1人1人が一意のユーザーID、パスワード、トークン、指紋などにより認証されることで、本人性の確証を高めているシステムが導入されていることが、各担当者だけでなく、管理職や管理者権限のIDを使用する要員を監視および保護するためにも必要となります。
ログ管理、付属書Aでは何が書かれている?
ログの管理に関しては、「JIS Q 27001:2006」の「付属書A」にある、「A.10.10 監視」が該当します。ここでは、以下のことが要求されています。
●A.10.10.1 監査ログの取得
システム上のログを取得するための、取得項目、および決められた期間の保存が要求されます。取得するログとしては、利用者の操作や情報セキュリティインシデントを記録するために、システムのアクセスログ、業務アプリケーションの操作ログ、ネットワーク上のどのポートを使用しているかのログなどがあります。ログの保管は、外部媒体に移し、有効な期間と決めた保管期間保存する、ということを実施します。
●A.10.10.2 システム使用状況の監視
システムの使用状況を監視するための手順(例えば、ログで監視するなど)を確立し、監視した結果(収集したログ)を定期的にレビューすることが要求されています。つまり、ログを取得しているだけで、何かインシデントが発生したときに確認するというのでは手遅れです。定期的にログを分析することで、インシデントの兆候を確認し、未然に防ぐことが必要です。
●A.10.10.3 ログ情報の保護
OS、またはアプリケーションのログ機能および取得したログ自体が変更されないように、アクセス制御やメディア保管、センターサーバへの保管などで管理することが要求されています。取得したログ自体の完全性が保たれなければ、分析しても正確な情報が得られずに、インシデントの未然防止や、発生した際の再発防止策に生かすことができません。
●A.10.10.4 実務管理者および運用担当者の作業ログ
システムの実務管理者および運用担当者(つまり、管理者権限や高い権限のあるユーザー)は、機密性の高い、またはITを運用するために重要度の高い情報にアクセスおよび操作することができるため、そのアクセスおよび操作の記録を取得することを要求されています。これは、前述したとおり、高い権限の人の作業を監視することで、不正のけん制効果や、その本人の作業の正当性を担保する役割があります。
●A.10.10.5 障害ログの取得
障害時のログを取得することにより、原因究明を容易にし、適切な処置を実施することが要求されています。これは、エラーとしてシステムやアプリケーションが吐き出した情報をログとして取得することで、障害の暫定処置および恒久処置を行うために、障害原因を解明することを要求しています。
●A.10.10.6 クロックの同期
システム使用状況や障害ログを取得した際に、コンピュータ内のクロックの同期を取ることで、操作元およびその時刻の正当性を確保することが要求されています。これは、インシデントの兆候や、発生したインシデントの攻撃元を追跡した場合、さまざまなシステムのクロックが同期していないと、本当にその時間に、この発信元から攻撃されたのか、ということの正当性が確保されないからです。これは、デジタルフォレンジックにおいては、特に重要な証拠を保証するものです。
1/3 |
 |
| Index | |
| 御社のログ管理体制、見直してみませんか? | |
 |
Page1 ログの持つ意味は大きくなっている ログを取るならば個を特定できるまで徹底する ログ管理、付属書Aでは何が書かれている? |
| Page2 SP800-92でのログ管理を確認する |
|
| Page3 実際の運用をイメージしてみよう |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
