SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

情報漏洩対策に必要な7つの楯

第6回 ログ分析のポイント

 企業としてさらに強固なセキュリティ対策を施すきっかけとなるような情報漏洩対策のポイントや考え方をご紹介する本連載、第6の楯は「ログ分析」です。

 ITシステムでは日々様々なイベントが発生し、多くの企業ではそれらを「ログ」として取得、保存しています。

 従来、ログは内部統制等の監査目的やシステム・パフォーマンスを管理するために利用されており、内部や外部の脅威に対するセキュリティの観点での利用はあまり見られませんでした。近年、より高度化/多様化した情報漏洩のインシデントや漏洩するデータ量が増加傾向にあることから、その際の予兆検知/状況・原因の調査/被害範囲の確認にログの活用が有効であると考えられるようになってきました。

 ログを有効活用するためには、システムごとに存在するログを一元的に管理し、定期的なモニタリングや問題発生時に意味のある情報を提供できるレポート基盤の構築が重要となります。

【対策のポイント】ログは一元管理し、レポートで予兆を検知する
ログの一元化

 ログによるモニタリング/分析基盤構築には、まず点在するログを一元的に統合し、同じ運用ルールで管理することがポイントとなります。外部との通信に関連するプロキシやファイアウォールのアクセス・ログ、ファイル/DBサーバのアクセス・ログ、クライアントPCの操作ログ等を統合することで、ログの突き合わせや多角的な視点でのレポート出力や分析の有用性が広がります。また、セキュリティ視点でのレポートとしては通常の動作をモニタリングし、異常や予兆を検知するまたはアラートを通知する目的か、問題が発生した場合の原因調査や被害範囲の特定等の分析目的に大別されます。

予兆検知を目的としたレポートを作成
ここでは情報漏洩の予兆検知を目的としたレポート例を3つご紹介します。

1.C&Cサーバとの通信/コネクトバック通信

 上記はプロキシ・サーバのアクセス・ログとURLリストを突き合わせた結果をレポート出力しています。URLリストは、不適切サイトや有害サイトのリストを意味します。このレポート例では、各URLにカテゴリ情報が付加されており、「URLカテゴリ2(右端のカラム)」に「マルウェア」と表示されている場合は、悪意のある攻撃者のC&Cサーバ(コマンド&コントロール・サーバ)情報を表しています。この例では2件のマルウェアが侵入し、C&Cサーバとの通信が発生していることを示しており、「クライアント・アドレス」(左から3番目のカラム)に表示されているIPアドレスを持つPCが侵入先として特定されます。

 また、マルウェアがC&Cサーバとの通信を維持しようとする特性(コネクトバック)から、ファイアウォールのフィルタ機能を利用し、一時的(計画的)に外部との通信を遮断し、接続の回復を試行する通信を上記のレポートから特定し、マルウェアの有無や予兆を確認する対応も有効です。

2.クライアント to クライアントの通信

 ファイアウォールまたはルータのログから、各クライアント間のアクセス状況を表したレポートです。マルウェアによる諜報活動や二次感染では、マルウェアに感染したクライアント(またはサーバ)から他のクライントに対して頻繁にアクセスが発生したり、複数のクライアントに対して一斉にアクセスが発生します。このレポートでは通常では発生しないクライアント間のアクセス状況を表すことで、マルウェアに関連する動作の予兆を確認することができます。

3.不正アクセス/トラップ・アカウントによる通信

 OS(サーバ)のアクセス・ログから、サーバへのアクセス状況の詳細を表したレポートです。アクセス・ルールを設定し、アクセス権を持たないアカントから重要なデータへのアクセスを検知します。また、アクセス制御ツールを使用することでログ内に「判定コード」(左から5カラム目)を設け、アクセス・ルールによりアクセスを拒否されたログのみの参照も有効です。さらに、ユーザ端末に通常使用しないトラップ用のアカウントをキャッシュに残し、このレポートからそのアカウントによるアクセスの有無を確認し、認証情報の不正使用や不正アクセスを確認する場合にも有効です。

 今回はログ分析について解説しました。最終回となる次回は多重防御について解説します。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
情報漏洩対策に必要な7つの楯連載記事一覧

もっと読む

この記事の著者

伊藤 雄介(イトウ ユウスケ)

株式会社アシスト システムソフトウェア事業部メインフレーム時代から23年間、企業の基幹となるシステム運用管理を中心としたパッケージ・ソフトウェア導入業務に携わる。顧客の業務要件を広くヒアリングしてきた経験から、ソフトウェアの機能中心ではなく、顧客のスコープを明確化したうえでの最適な提案を得意とする。...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6750 2015/05/08 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング