ログ分析のポイント

ログ分析に必要なログの一元管理とは

ログというのは内部統制を行う際に監査目的、またシステムのパフォーマンスを管理することに利用されており、内部や外部の脅威についてセキュリティという観点から利用されるものではありませんでした。

しかし近年になって情報漏洩が多様化し、漏洩するデータ量がかなり多くなっていることもあり、情報漏洩の予防や状況、また原因を調査するなどの為にログの活用が求められています。

ログの有効活用にはシステムごとにあるログの一元管理や、定期的にモニタリングするなど、レポート基盤をしっかりと構築していくことで有効に活用できる状態となります。

ログは一元管理によって予防に利用できる

ログを利用してモニタリングし、分析の基盤となるものを構築していくためには、ログを一元的に集めて運用ルールを決めて管理することが大切です。

外部との通信にはプロキシ、ファイアウォールのアクセスログ、クライアントPCの操作ログなどを統合することによって分析の有用性を高めることが可能です。

セキュリティを目的として行うレポートは通常の動作を常にモニタリングする中で異常が発生した場合にあらーとを通知する、また情報漏洩が起きた時、原因を調査したり被害がどのくらいまで広がっているか、分析するということを考えます。

例えばプロキシサーバのアクセスログ、それとURLのリストを突き合わせてレポート出力した例を挙げると、URLリストに有害サイトなどのリストがあり、カテゴリ情報を不可しURLの別カテゴリにマルウエアと出ていれば、悪意ある攻撃者のコマンド&コントロールサーバとして表示します。

こうしたレポートによってマルウエアが入り込み、C&Cサーバとの通信ができるようになってしまっているということがわかります。

クライアントtoクライアントの通信と不正アクセス等の通信

ファイアウォールなどのログから各クライアント間がどのようなアクセスをしているかレポートすると、マルウエアの諜報活動のほかに、感染したクライアントから他のクライアントにアクセスが頻繁に起こる等、通常では発生しないクライアント同士のアクセス状況があれば、そこからマルウエア関連動作を予見することが可能となります。

OSのアクセスログからサーバへのアクセス状況をレポートすると、アクセス権を持っていないアカウントから機密などの重要なデータにアクセスすることを検知し、アクセス制御ツールを使用することによってログに判定コードを設けることで、アクセスを拒否されているログだけをレポートにすることもできます。

こうしたレポートによってその他のアカウントからのアクセスがあるかどうかを確認することができ、不正アクセスをみつけることに役立てることが可能となります。