ログをとってもわからないこと
最近ハードディスク(HDD)の価格が安くなってきたことも影響があるのか、
ログの量が膨大になりつつあるようですね。
先日もお客様から
「ログを保存しているがちゃんと使え、と上司から指示があり検討している」
という相談を受けました。
そこで私は、サーバーのアクセスログから情報漏洩の予兆がつかめないか、
社内でウイルスが蔓延している痕跡が見つけられないか、
などを想定して現状調査をしてみました。
実際にログを全部見られたのですか?
はい。確かに、膨大なサーバのログが保存されていました。
ただ、ひと目見てなにかがすぐわかるというわけではないんですね。
たとえば、情報漏洩の予兆をつかむためには、
「誰が」「いつ」「どのファイルにアクセスしたか」というログが必要なのですが、
残されていたサーバのログは、「誰が」「いつ」「どんなエラーをしたか」だったのです。
認証に失敗したとか、アプリケーションが異常終了したとかいった
エラーについて延々と記録されていました。
エラー情報は役に立たないのでしょうか?
エラー情報はサーバの管理には欠かせないでしょう。
アプリケーションが異常終了したという詳細情報からは、
アプリケーションのどこに問題点があって、どう改善すればいいかがわかるのです。
そして、誰が認証に失敗したか、からは、
ひょっとすると上司のアカウントで勝手にログインを試みた
不届きな社員が見つけられるかもしれません。
しかし、これらの情報からは、
情報を盗もうとしたこと可能性は全く調べることができません。
「情報を盗もうとした可能性」…それは判断が難しそうです。
それだけではありませんよ。
PCに感染したウイルスによる感染拡大活動としての
サーバへの攻撃の痕跡を探ろうとしても、
脆弱性を突いた攻撃の場合にはログは残らないことが多いのです。
その場合には、サーバーだけではなく、
社内ネットワークに設置されたネットワークIDSのログが必要となります。
しかし、そのいずれも取得できていないため、
情報漏洩の予兆もウイルス感染の痕跡も知ることのできないログが
膨大に残されているのです。
