第2回 PCのログ分析で見えてくるもの
伊藤 直喜
ALSOK 開発企画部
2011/1/19
分析の注目ポイント、見えてくる事象
■情報漏えいを防ぐための分析
PCから情報が出ていく経緯を見ると、マルウェアの動作や利用者の誤操作など利用者の意図とは関係なくデータが送信されるパターンと、利用者が意図的にデータを持ち出すパターンがある。後者はデータへのアクセス権を持つ人による「正当な操作」が多いため、ログの分析によって把握することが効果的である。
しかし、「正当な操作」のログは膨大な量になるため、すべてを人力で管理することは現実的に不可能だ。ログ管理ツールを使ってログの分析は省力化できるが、分析のポイントは抑えておきたい。そのポイントとは、データが外部へ出ていく経路に注目することである。
この経路は大きく5つに分類できる。
- 電子メール
- Webサービス
- ファイル共有ソフトなどの各種ツール
- USBメモリなどの外部記憶媒体
- プリントアウト(紙媒体)
以下、個別に分析のポイントを解説していこう。
■電子メール
電子メールは日常的に使うツールだ。全メールとまではいかないにせよ、ファイルを添付して送信する操作だけを抜き出しても、ログは膨大な量となる。これを効率的に管理するには、重要なファイルの送信のみに絞り込む必要がある。絞り込みの条件として、あらかじめ、内部情報のファイルに特有のキーワード(管理表、名簿など)を選び出しておくとよいだろう。
■Webサービス
Webサービスには、Webメールやファイル送信サービス、オンラインストレージなど、データの持ち出し経路となるサービスが多数存在する。しかし、流出が発生する場合はいずれも「Webブラウザを利用してファイルを読み込む」という動作が伴うので、このログに着目して管理するとよいだろう。
ただし、この条件だけではCookieの読み込みログなども含まれる。そこで、こうした利用者の操作に関係がないログを除外すれば精度が向上する。
■ファイル共有ソフトなどの各種ツール
ファイル共有ソフトは、情報漏えいのリスクだけでなく著作権侵害の問題もはらんでおり、会社などでは利用を禁止しているのが一般的だろう。
ファイル共有ソフトそのものは違法ではないかもしれないが、流通しているファイルの大半は違法なものである。ある調査によると、Winnyで流通しているファイルの約20%がウイルスに感染しているとのデータもある。しかも、ウイルスファイルのアイコンをフォルダに偽装し、うっかり実行させる罠を仕掛けている場合も多い。さまざまなリスクを考えれば、触らないほうが賢明である。
しかも2010年1月の著作権法の改正により、違法なファイルをダウンロードする行為も違法となった。罰則はないものの、著作権者から損害賠償を請求される可能性があるので、コンプライアンスの観点からもファイル共有ソフトの使用は控えるべきであろう。
当社でもPCの操作履歴を監視するサービスを提供しているが、ある日、とあるユーザーのPCからファイル共有ソフトの動作ログを検知したことがあった。早速、当社からユーザーの窓口担当者に緊急連絡を実施し、該当のファイル共有ソフトを即刻削除したため、情報漏えいやウイルスへの感染といった被害はなく、事なきを得た。
ファイル共有ソフトでは、プログラム名によってどのソフトなのかを判断することになる。ただ似たようなプログラム名があると、アラートを発生させるトリガーによっては、誤検知が発生することがある。
例えば、ファイル共有ソフトの1つに「share」というものがある。プログラム名は「share.exe」だが、Windowsのシステムフォルダ内にも同名のプログラムがあるので注意が必要となる。
また、「share.exe」というワードがプログラム名に含まれる場合も考慮しておかなければならない。例えば「share.exe」が起動したらアラートを上げるという設定にすると、「xxxxshare.exe」のようにプログラム名が部分的に一致した場合でもアラートが発生してしまうことがある。この場合、アラートの除外設定などがあれば、これをチューニングすることで、検知精度を向上できる。
ファイル共有ソフト以外でも、チャットができるインスタントメッセンジャーなどの多くはファイル送信機能を持っており、注意が必要となる。インターネット経由でVPN接続を行うソフトは、外部のパソコンとファイルのやりとりが容易にできるからだ。
情報流出に目を光らせるならば、このようなソフトの利用、特にファイル送信(もしくはその前段階でのファイル読み込み)のログも分析すべきであろう。組織内でどのようなソフトが使われているかの把握も重要である。また、すでにそうした情報を把握できているならば、そのソフトを操作するとどのようなログが記録されるのかをあらかじめ調査しておくと、ログを読み解く際の助けになる。
■USBメモリなどの外部記憶媒体
USBメモリは便利な反面、紛失のリスクも大きく、大容量化により紛失時の情報流出規模も大きくなってきている。使用を許可する場合は、ログでデータの持ち出しを把握するとともに、認証機能付きのメモリなど、セキュリティを考慮した製品を使うようにしたい。
利用実態が不明な場合は、データコピーのログを分析するとよいだろう。コピー先のドライブについて、デバイス種別(HDDなのか、USBメモリなどのリムーバブルディスクなのかなど)が記録されるので、ここに注目することで実態が見えてくる。
■プリントアウト(紙媒体)
最後に、紙媒体による持ち出しも忘れてはならない。情報漏えい事故発生時の情報持ち出し媒体は、USBメモリなど、インターネットに次いで、第3位が紙媒体である(注)。ファイルの印刷ログを見れば、印刷されたファイルや出力先のプリンタ、ページ数などが分かる。印刷ページ数を集計するとコスト管理にも活用できる。
注:2009年情報セキュリティインシデントに関する調査報告書Ver1.1より |
すべてに共通していえることだが、ファイルを持ち出す際に、あらかじめファイル名を当たり障りのないものに変更して、監視をかいくぐろうとする例もある。そのため、これまで述べたような経路に着目した上で、不審なログがあった場合は、その前後のログも合わせて確認すると、どのファイルを、どのような操作で持ち出したのかという経緯が、いっそうはっきり見えてくるだろう。
効果を高めるポイント
情報漏えい対策に取り組む企業は多いが、観念的に「ファイル共有ソフト禁止」や「USBメモリ禁止」といったルールを掲げるだけで終わりになっている組織がある。さらに一歩踏み込んだ情報の管理を行うためにも、ぜひ、操作ログを活用していただきたい。単に禁止というルールを定めるだけにとどまらず、ログで監視を行い、その事実を認知させることで抑止効果が期待できる。
ファイルをファイルサーバに保存して管理している組織も多く、情報管理のためにサーバのアクセスログも管理したいという話をよく聞く。しかし、サーバ側のログにはファイルがどこからアクセスされたかという情報は残るが、その先、クライアント側でどのような操作が行われたかまでは追いかけられない。そこで、サーバ側に加えてクライアント側でもログを取得することを推奨する。
ほかに、休日出勤や夜勤など、管理者が直接的に勤務を管理できない時間帯の社員のPC利用状況などを把握したいという要望もよく聞く。また、複数ある出先の店舗における情報の管理状況を把握したいというニーズもある。こうした場合も、ログを活用することで、なかなか見えにくい操作状況を可視化できる。
Webサイトの閲覧についても、ログ管理の効用がある。アクセス先によってはワンクリック詐欺やGumblarなどに引っ掛かって、マルウェアをダウンロードしてしまうリスクがある。そのマルウェアが情報流出の糸口になることも多い。業務上不要なサイトへのアクセスは、極力やめるようにルールを徹底したいものである。
しかし、PCのログから、不要なWebサイトへのアクセスを読み取るにもコツがいる。Webサイトへのアクセスログとして記録される情報は、製品によってURLであったり、ブラウザに表示されるタイトルであったりと異なっている。後者の場合はキーワードによる絞込みで、ある程度の抽出が可能である。URLの場合はそのサイトの中身が推測しにくいので、ブラックリストやホワイトリストと照合して判断する方法が考えられる。しかし、このリストを準備し更新していくことは容易ではないので、別途Webフィルタ製品の導入を検討するのが現実的だろう。
以上、PCのログ管理について解説してきたが、ほとんどの場合、PCはスタンドアロンではなく、ネットワークに接続して使っているはずだ。そうした時は、PCの操作ログだけでなくネットワークのログがあると、PCの利用状況をより詳しく把握できる。次回はこのネットワークのログについて解説していきたい。
Profile | |
伊藤 直喜(いとう なおき) ALSOK 開発企画部勤務 情報セキュリティスペシャリスト ALSOKの「情報警備事業」の立ち上げに携わり、サービスの構築や、運用基盤となる情報警備監視センターの設立に尽力した。「情報警備事業」で提供するサービスには、PCの操作ログ管理および分析により情報漏えいを監視する「PC監視」や、UTMの管理・運用のアウトソーシングに加え情報漏えいを切り口にログ分析を行う「ネットワーク監視」などがある。 |
2/2 |
Index | |
ここまで分かる! ログの神髄 | |
Page1 ログ――それを捨てるなんてもったいない 多種多様な「ログ」 |
|
Page2 ログ取得、5つのポイント ログからつながる3つの使い方 |
「ログ使ってない? もったいない!」連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|