ログの分析を始める前に
ログは、継続して見続けることが大切です。なぜなら、普段から日常的な操作ログを見慣れていないと、いつもと違うあやしい操作ログがあっても、それに気づきにくいからです。
何か問題があってからあわててログを見るのではなく、何か起きたかも知れない・何か起こってしまったかもしれないという兆候を日ごろから見張り続けることで、ログの存在価値が発揮でき、情報漏えいに対する抑止力の継続にもつながります。
さて、そろそろ本題のログ分析に入りたいと思います。最初に、絞り込んだログを分析する上のポリシーを「内から外へのデータ漏えいを見出す」にしました。
分析時の重点ポイントは「USBメモリ等へのデータコピー」と、ブラウザ等のアプリケーションによるファイルの読み込み(=アプリケーションによるデータの外への送信)とします。
ログの分析(1)~ブラウザ使用によるデータ送信
まず一通りログを見てみると、ブラウザによるファイルの読み込みが数多く見られました。しかし、ファイルの読み込みイベントは、以下の操作をブラウザ上で行っている場合でも多く発生します。
・Webサイト、ブログの更新
・グループウェアを使用した、社内間でのデータのやり取り
そこで、取得ログの中に存在する「ブラウザでファイルを読み込んだ履歴」と「Webの閲覧履歴(ブラウザに表示されたタイトル)」を組み合わせて、時系列で並べなおしてみました。
そうすると、ファイル操作の直前のWeb閲覧履歴ログを見れば、ブラウザで読み込まれたファイルが実際どのようなサービスを利用していたのかが一目でわかるようになり、2つのログを合わせて更に精度の高いログ情報を得ることが出来ました。
これで「いつ」「どのPCが」「どういう名称のデータを」「どういったサービスを使用して」データ送信されているかがはっきりしますので、操作の追跡が行いやすくなります。
次にこれらのログの中から、漏えいの可能性がある操作を探してみたところ、大きく目立った操作は「ファイル送信サービス」「Webメールの使用」の2つでした。
ファイル送信サービスがよく利用されるのは、1回の送信データ容量に制限のあるメールと比べて、数ギガ~数百ギガのデータ送信に対応していて、かつ利用料フリーでユーザ登録を必要としないものが多いことが理由だと考えられます。
また、Webメールに関しては、フリーメールによるものだけではなく、プロバイダのメールサービスによるWebメールの使用も目に付き、業務上でWebメールを使用する機会も増えて来ているということができそうです。
あとは上記2つの操作を行った人に、操作理由の確認を行っていくだけです。
ログの分析(2)~USBメモリ等へのデータ書き込み状況
監視対象先ごとに件数に大きな幅があります。ほとんど使用が見られないケースや、日常的に使用しているケース、または夜間・月末等に定期バックアップと見られるファイルコピーを行っているケースが特に目に付きます。
書き込みを行っているファイルは、ファイル名を見ることである程度重要度を見分けることができそうです。持ち出しされるとまずそうなファイルのコピーに関しては、コピー実施者にヒアリングを行い続けることで、不要な使用の抑制が期待できそうです。
なお、弊社で監視している監視対象先の中には、USBメモリ等の使用ログを発見した際、監視対象先の担当者(システム管理者等)に対して、緊急連絡を行っているところがあります。
こういった監視対象先は明らかに使用回数が減少しているか、あるいは無くなっており、ログ監視の効果がはっきりと表れています。ただし、真夜中に電話が鳴る監視対象先の担当者の方はたまったものではないでしょうが・・・
