ログ管理初級編~現状のシステムで実力診断
前編では、セキュリティ対策としてのログ管理についてお話を伺いました。
セキュリティ対策では特に、「これくらいやれば大丈夫」というラインが
なんとなく見えてくるのは大事ですよね。
そう。ログは完全性にこだわるとコストは跳ね上がります。
また、事後よりも事前の発見に重点を置くのであれば、
全く違ったシステム構成になることもあります。
たとえば、ウイルスの一種であるbotが
社内ネットワークの多くに存在していることが囁かれ始めましたが、
もし本当であればそれを発見するにはネットワークIDSのログは不可欠となります。
しかも、通常のファイアウォールでは通過させてしまうアクセス
(HTTPで外部接続にいくパターンが多い)の中からbotのアクセスを発見して
社内にbotがいることを発見する訳ですから、
膨大な正常なアクセスから一粒のbotの痕跡を見つけるという
高度な技術力が求めらてくるわけです。
とはいえ、ログを完全に設計し直すことは容易ではありませんし、
今時の経済状況ではそんな予算は割けないでしょう。
ログでbotを発見するのは困難である、と。
何か次回はそのあたりについてさらに詳しく聞きたいところですが、
とりあえず、日本的フォレンジックの観点から、
ログ管理のどこから手をつければよいのでしょうか。
まずは現状のログで何がどこまでわかるか実力診断してはいかがでしょうか?
自分の持っているものが全部砂なのか価値のある鉱石が混じっているのか。
そのためにはログの専門家に相談することが必要となります。
セキュリティだけでなくシステム運用についても精通していることが必要です。
実力診断後は、そのままのシステムであまり予算をかけずに済む方法を探ります。
例えば、設定項目の修正などチューニングによる対応の可能性を検討しましょう。
限られた予算と期間で砂漠に鉱石が見つかるようになることができるかもしれませんよ。
