ITシステムでは日々様々なイベントが発生し、多くの企業ではそれらを「ログ」として取得、保存しています。
従来、ログは内部統制等の監査目的やシステム・パフォーマンスを管理するために利用されており、内部や外部の脅威に対するセキュリティの観点での利用はあまり見られませんでした。近年、より高度化/多様化した情報漏洩のインシデントや漏洩するデータ量が増加傾向にあることから、その際の予兆検知/状況・原因の調査/被害範囲の確認にログの活用が有効であると考えられるようになってきました。
ログを有効活用するためには、システムごとに存在するログを一元的に管理し、定期的なモニタリングや問題発生時に意味のある情報を提供できるレポート基盤の構築が重要となります。
【対策のポイント】ログは一元管理し、レポートで予兆を検知する
ログの一元化
ログによるモニタリング/分析基盤構築には、まず点在するログを一元的に統合し、同じ運用ルールで管理することがポイントとなります。外部との通信に関連するプロキシやファイアウォールのアクセス・ログ、ファイル/DBサーバのアクセス・ログ、クライアントPCの操作ログ等を統合することで、ログの突き合わせや多角的な視点でのレポート出力や分析の有用性が広がります。また、セキュリティ視点でのレポートとしては通常の動作をモニタリングし、異常や予兆を検知するまたはアラートを通知する目的か、問題が発生した場合の原因調査や被害範囲の特定等の分析目的に大別されます。
予兆検知を目的としたレポートを作成
ここでは情報漏洩の予兆検知を目的としたレポート例を3つご紹介します。
1.C&Cサーバとの通信/コネクトバック通信
上記はプロキシ・サーバのアクセス・ログとURLリストを突き合わせた結果をレポート出力しています。URLリストは、不適切サイトや有害サイトのリストを意味します。このレポート例では、各URLにカテゴリ情報が付加されており、「URLカテゴリ2(右端のカラム)」に「マルウェア」と表示されている場合は、悪意のある攻撃者のC&Cサーバ(コマンド&コントロール・サーバ)情報を表しています。この例では2件のマルウェアが侵入し、C&Cサーバとの通信が発生していることを示しており、「クライアント・アドレス」(左から3番目のカラム)に表示されているIPアドレスを持つPCが侵入先として特定されます。
また、マルウェアがC&Cサーバとの通信を維持しようとする特性(コネクトバック)から、ファイアウォールのフィルタ機能を利用し、一時的(計画的)に外部との通信を遮断し、接続の回復を試行する通信を上記のレポートから特定し、マルウェアの有無や予兆を確認する対応も有効です。
2.クライアント to クライアントの通信
ファイアウォールまたはルータのログから、各クライアント間のアクセス状況を表したレポートです。マルウェアによる諜報活動や二次感染では、マルウェアに感染したクライアント(またはサーバ)から他のクライントに対して頻繁にアクセスが発生したり、複数のクライアントに対して一斉にアクセスが発生します。このレポートでは通常では発生しないクライアント間のアクセス状況を表すことで、マルウェアに関連する動作の予兆を確認することができます。
3.不正アクセス/トラップ・アカウントによる通信
OS(サーバ)のアクセス・ログから、サーバへのアクセス状況の詳細を表したレポートです。アクセス・ルールを設定し、アクセス権を持たないアカントから重要なデータへのアクセスを検知します。また、アクセス制御ツールを使用することでログ内に「判定コード」(左から5カラム目)を設け、アクセス・ルールによりアクセスを拒否されたログのみの参照も有効です。さらに、ユーザ端末に通常使用しないトラップ用のアカウントをキャッシュに残し、このレポートからそのアカウントによるアクセスの有無を確認し、認証情報の不正使用や不正アクセスを確認する場合にも有効です。
今回はログ分析について解説しました。最終回となる次回は多重防御について解説します。
