第3回 御社のログ管理体制、見直してみませんか?


松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/8/17


 ログの持つ意味は大きくなっている

 ISMS(情報セキュリティマネジメントシステム)およびプライバシーマークを構築するに当たり、情報システムにおけるログ管理を導入する企業が増えてきました。

 昨今では、日本版SOX法の法的要求事項を順守するために、従業員が財務諸表に関係する業務においてITを利用した場合に、業務を実施した証拠や改ざんなどの不正な操作が行われなかった証拠として、システムのログ管理も法が求める対策の1つとなっています。

 ログ管理において、管理職などの権限のあるユーザーが承認した履歴があることで、従業員の操作が正しく行われたということが実証できます。しかし、上位の管理者の業務の実施状況については、本当にその管理者がその行為を実施したのかという証拠を示すことができません。

 そのため、ログにてその証拠を担保するという目的からも、ログ管理の重要性が認識されています。ITの運用管理の観点では、ログはシステム管理者が本当に不正なことがなく作業を行ったということを証明するための証拠として取り上げられています。

 管理職は職務上、大きな権限を持っています。しかし、大きな権限を持つということは、なんでも好きなことができてしまうというリスクをはらんでいます。

 ログを取るならば個人を特定できるまで徹底する

 ログを取得するための前提条件としては、一意の識別子であるユーザーIDを、その本人が使用しているということを確実にするシステムが導入されていることが必要です。

 1人1人を識別するユーザーIDを付与していないと、ログを取得したとしても、有効に機能しない場合があるからです。例えば、部署で1つの共有IDを使用している場合、そのIDを使用している部署は絞り込めますが、その部署の誰が操作したのか、ログを分析しても判明することは難しいのです。

 1つ事例を挙げて説明します。部署の中の1人が共有IDを使用し、PCを操作したとします。この場合、使用されたPCのMACアドレスやIPアドレスが分かったとしても、ログが記録されたその日、その時間帯にその人が会社の外にいたり、休みを取っていたとしたら、実際には誰が操作したのか、ログの情報だけでは分からないのです。忙しい業務の中では、見知らぬ誰かが席に座ってPCを操作していても気が付かない場合もあるかもしれません。推理小説や映画の世界の話のように感じているかもしれませんが、現実に、このようなことは起きているのです。

 そのためにも、従業員1人1人が一意のユーザーID、パスワード、トークン、指紋などにより認証されることで、本人性の確証を高めているシステムが導入されていることが、各担当者だけでなく、管理職や管理者権限のIDを使用する要員を監視および保護するためにも必要となります。

 ログ管理、付属書Aでは何が書かれている?

 ログの管理に関しては、「JIS Q 27001:2006」の「付属書A」にある、「A.10.10 監視」が該当します。ここでは、以下のことが要求されています。

●A.10.10.1 監査ログの取得

 システム上のログを取得するための、取得項目、および決められた期間の保存が要求されます。取得するログとしては、利用者の操作や情報セキュリティインシデントを記録するために、システムのアクセスログ、業務アプリケーションの操作ログ、ネットワーク上のどのポートを使用しているかのログなどがあります。ログの保管は、外部媒体に移し、有効な期間と決めた保管期間保存する、ということを実施します。

●A.10.10.2 システム使用状況の監視

 システムの使用状況を監視するための手順(例えば、ログで監視するなど)を確立し、監視した結果(収集したログ)を定期的にレビューすることが要求されています。つまり、ログを取得しているだけで、何かインシデントが発生したときに確認するというのでは手遅れです。定期的にログを分析することで、インシデントの兆候を確認し、未然に防ぐことが必要です。

●A.10.10.3 ログ情報の保護

 OS、またはアプリケーションのログ機能および取得したログ自体が変更されないように、アクセス制御やメディア保管、センターサーバへの保管などで管理することが要求されています。取得したログ自体の完全性が保たれなければ、分析しても正確な情報が得られずに、インシデントの未然防止や、発生した際の再発防止策に生かすことができません。

●A.10.10.4 実務管理者および運用担当者の作業ログ

 システムの実務管理者および運用担当者(つまり、管理者権限や高い権限のあるユーザー)は、機密性の高い、またはITを運用するために重要度の高い情報にアクセスおよび操作することができるため、そのアクセスおよび操作の記録を取得することを要求されています。これは、前述したとおり、高い権限の人の作業を監視することで、不正のけん制効果や、その本人の作業の正当性を担保する役割があります。

●A.10.10.5 障害ログの取得

 障害時のログを取得することにより、原因究明を容易にし、適切な処置を実施することが要求されています。これは、エラーとしてシステムやアプリケーションが吐き出した情報をログとして取得することで、障害の暫定処置および恒久処置を行うために、障害原因を解明することを要求しています。

●A.10.10.6 クロックの同期

 システム使用状況や障害ログを取得した際に、コンピュータ内のクロックの同期を取ることで、操作元およびその時刻の正当性を確保することが要求されています。これは、インシデントの兆候や、発生したインシデントの攻撃元を追跡した場合、さまざまなシステムのクロックが同期していないと、本当にその時間に、この発信元から攻撃されたのか、ということの正当性が確保されないからです。これは、デジタルフォレンジックにおいては、特に重要な証拠を保証するものです。

1/3

Index
御社のログ管理体制、見直してみませんか?
Page1
ログの持つ意味は大きくなっている
ログを取るならば個を特定できるまで徹底する
ログ管理、付属書Aでは何が書かれている?
  Page2
SP800-92でのログ管理を確認する
  Page3
実際の運用をイメージしてみよう

ISMSで考える運用管理のヒント バックナンバー


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH