SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

「それなりにセキュリティ」のススメ

第7回 PCの操作ログが教えてくれること(後編)

前回は、膨大な量のPC操作ログを分析する際に、必要な情報に絞り込むための方法について述べました。今回は、現在弊社が監視している200社以上のPC監視操作ログを実際に絞り込んで、何が見えてくるかについて述べていきたいと思います。

ログの分析を始める前に

ログは、継続して見続けることが大切です。なぜなら、普段から日常的な操作ログを見慣れていないと、いつもと違うあやしい操作ログがあっても、それに気づきにくいからです。

何か問題があってからあわててログを見るのではなく、何か起きたかも知れない・何か起こってしまったかもしれないという兆候を日ごろから見張り続けることで、ログの存在価値が発揮でき、情報漏えいに対する抑止力の継続にもつながります。

さて、そろそろ本題のログ分析に入りたいと思います。最初に、絞り込んだログを分析する上のポリシーを「内から外へのデータ漏えいを見出す」にしました。

分析時の重点ポイントは「USBメモリ等へのデータコピー」と、ブラウザ等のアプリケーションによるファイルの読み込み(=アプリケーションによるデータの外への送信)とします。

ログの分析(1)~ブラウザ使用によるデータ送信

まず一通りログを見てみると、ブラウザによるファイルの読み込みが数多く見られました。しかし、ファイルの読み込みイベントは、以下の操作をブラウザ上で行っている場合でも多く発生します。

・Webサイト、ブログの更新
・グループウェアを使用した、社内間でのデータのやり取り

そこで、取得ログの中に存在する「ブラウザでファイルを読み込んだ履歴」と「Webの閲覧履歴(ブラウザに表示されたタイトル)」を組み合わせて、時系列で並べなおしてみました。

そうすると、ファイル操作の直前のWeb閲覧履歴ログを見れば、ブラウザで読み込まれたファイルが実際どのようなサービスを利用していたのかが一目でわかるようになり、2つのログを合わせて更に精度の高いログ情報を得ることが出来ました。

これで「いつ」「どのPCが」「どういう名称のデータを」「どういったサービスを使用して」データ送信されているかがはっきりしますので、操作の追跡が行いやすくなります。
次にこれらのログの中から、漏えいの可能性がある操作を探してみたところ、大きく目立った操作は「ファイル送信サービス」「Webメールの使用」の2つでした。

ファイル送信サービスがよく利用されるのは、1回の送信データ容量に制限のあるメールと比べて、数ギガ~数百ギガのデータ送信に対応していて、かつ利用料フリーでユーザ登録を必要としないものが多いことが理由だと考えられます。

また、Webメールに関しては、フリーメールによるものだけではなく、プロバイダのメールサービスによるWebメールの使用も目に付き、業務上でWebメールを使用する機会も増えて来ているということができそうです。

あとは上記2つの操作を行った人に、操作理由の確認を行っていくだけです。

ログの分析(2)~USBメモリ等へのデータ書き込み状況

監視対象先ごとに件数に大きな幅があります。ほとんど使用が見られないケースや、日常的に使用しているケース、または夜間・月末等に定期バックアップと見られるファイルコピーを行っているケースが特に目に付きます。

書き込みを行っているファイルは、ファイル名を見ることである程度重要度を見分けることができそうです。持ち出しされるとまずそうなファイルのコピーに関しては、コピー実施者にヒアリングを行い続けることで、不要な使用の抑制が期待できそうです。

なお、弊社で監視している監視対象先の中には、USBメモリ等の使用ログを発見した際、監視対象先の担当者(システム管理者等)に対して、緊急連絡を行っているところがあります。

こういった監視対象先は明らかに使用回数が減少しているか、あるいは無くなっており、ログ監視の効果がはっきりと表れています。ただし、真夜中に電話が鳴る監視対象先の担当者の方はたまったものではないでしょうが・・・

次のページ
ログの分析(3)~メッセンジャー系のソフトウェア、FTP通信によるデータ送信

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
「それなりにセキュリティ」のススメ連載記事一覧

もっと読む

この記事の著者

糸永 広昭(イトナガ ヒロアキ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/2454 2010/08/06 00:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング