ログ管理砂漠前編では、なんとなくとっているログは役に立たないという衝撃の事実が発覚しました。「使えるログ」はどうやって取得し、管理すればいいのでしょうか?ログ砂漠後編は実践編です。ミニマムなログ管理から、最先端のログ管理までご紹介します。
ログ管理初級編~現状のシステムで実力診断
前編では、セキュリティ対策としてのログ管理についてお話を伺いました。
セキュリティ対策では特に、「これくらいやれば大丈夫」というラインが
なんとなく見えてくるのは大事ですよね。
そう。ログは完全性にこだわるとコストは跳ね上がります。
また、事後よりも事前の発見に重点を置くのであれば、
全く違ったシステム構成になることもあります。
たとえば、ウイルスの一種であるbotが
社内ネットワークの多くに存在していることが囁かれ始めましたが、
もし本当であればそれを発見するにはネットワークIDSのログは不可欠となります。
しかも、通常のファイアウォールでは通過させてしまうアクセス
(HTTPで外部接続にいくパターンが多い)の中からbotのアクセスを発見して
社内にbotがいることを発見する訳ですから、
膨大な正常なアクセスから一粒のbotの痕跡を見つけるという
高度な技術力が求めらてくるわけです。
とはいえ、ログを完全に設計し直すことは容易ではありませんし、
今時の経済状況ではそんな予算は割けないでしょう。
ログでbotを発見するのは困難である、と。
何か次回はそのあたりについてさらに詳しく聞きたいところですが、
とりあえず、日本的フォレンジックの観点から、
ログ管理のどこから手をつければよいのでしょうか。
まずは現状のログで何がどこまでわかるか実力診断してはいかがでしょうか?
自分の持っているものが全部砂なのか価値のある鉱石が混じっているのか。
そのためにはログの専門家に相談することが必要となります。
セキュリティだけでなくシステム運用についても精通していることが必要です。
実力診断後は、そのままのシステムであまり予算をかけずに済む方法を探ります。
例えば、設定項目の修正などチューニングによる対応の可能性を検討しましょう。
限られた予算と期間で砂漠に鉱石が見つかるようになることができるかもしれませんよ。
この記事は参考になりましたか?
- 教えて三輪先生!編集部小泉が訊く「いまさら聞けない」あなたのためのセキュリティ講座連載記事一覧
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
-
三輪 信雄(ミワ ノブオ)
日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
