テックノート

テックノート>情報漏洩対策に必要な7つの楯 Vol.6

  • セキュリティ/仮想化
2015.05.08

情報漏洩対策に必要な7つの楯 Vol.6

情報漏洩対策に必要な7つの楯 Vol.6

企業としてさらに強固なセキュリティ対策を施すきっかけとなるような情報漏洩対策のポイントや考え方をご紹介する本連載、第6の楯は「ログ分析」です。(全7回連載)


Vol.6 ログ分析のポイント


ITシステムでは日々様々なイベントが発生し、多くの企業ではそれらを「ログ」として取得、保存しています。

従来、ログは内部統制等の監査目的やシステム・パフォーマンスを管理するために利用されており、内部や外部の脅威に対するセキュリティの観点での利用はあまり見られませんでした。近年、より高度化/多様化した情報漏洩のインシデントや漏洩するデータ量が増加傾向にあることから、その際の予兆検知/状況・原因の調査/被害範囲の確認にログの活用が有効であると考えられるようになってきました。

ログを有効活用するためには、システムごとに存在するログを一元的に管理し、定期的なモニタリングや問題発生時に意味のある情報を提供できるレポート基盤の構築が重要となります。

【対策のポイント】ログは一元管理し、レポートで予兆を検知する

ログの一元化
ログによるモニタリング/分析基盤構築には、まず点在するログを一元的に統合し、同じ運用ルールで管理することがポイントとなります。外部との通信に関連するプロキシやファイアウォールのアクセス・ログ、ファイル/DBサーバのアクセス・ログ、クライアントPCの操作ログ等を統合することで、ログの突き合わせや多角的な視点でのレポート出力や分析の有用性が広がります。また、セキュリティ視点でのレポートとしては通常の動作をモニタリングし、異常や予兆を検知するまたはアラートを通知する目的か、問題が発生した場合の原因調査や被害範囲の特定等の分析目的に大別されます。

予兆検知を目的としたレポートを作成
ここでは情報漏洩の予兆検知を目的としたレポート例を3つご紹介します。

1. C&Cサーバとの通信/コネクトバック通信


プロキシ・サーバのアクセス・ログとURLリストを突き合わせた結果レポート


上記はプロキシ・サーバのアクセス・ログとURLリストを突き合わせた結果をレポート出力しています。URLリストは、不適切サイトや有害サイトのリストを意味します。このレポート例では、各URLにカテゴリ情報が付加されており、「URLカテゴリ2(右端のカラム)」に「マルウェア」と表示されている場合は、悪意のある攻撃者のC&Cサーバ(コマンド&コントロール・サーバ)情報を表しています。この例では2件のマルウェアが侵入し、C&Cサーバとの通信が発生していることを示しており、「クライアント・アドレス」(左から3番目のカラム)に表示されているIPアドレスを持つPCが侵入先として特定されます。

また、マルウェアがC&Cサーバとの通信を維持しようとする特性(コネクトバック)から、ファイアウォールのフィルタ機能を利用し、一時的(計画的)に外部との通信を遮断し、接続の回復を試行する通信を上記のレポートから特定し、マルウェアの有無や予兆を確認する対応も有効です。

2. クライアント to クライアントの通信


各クライアント間のアクセス状況レポート


ファイアウォールまたはルータのログから、各クライアント間のアクセス状況を表したレポートです。マルウェアによる諜報活動や二次感染では、マルウェアに感染したクライアント(またはサーバ)から他のクライントに対して頻繁にアクセスが発生したり、複数のクライアントに対して一斉にアクセスが発生します。このレポートでは通常では発生しないクライアント間のアクセス状況を表すことで、マルウェアに関連する動作の予兆を確認することができます。

3. 不正アクセス/トラップ・アカウントによる通信


OS(サーバ)のアクセス・ログから、サーバへのアクセス状況の詳細レポート


OS(サーバ)のアクセス・ログから、サーバへのアクセス状況の詳細を表したレポートです。アクセス・ルールを設定し、アクセス権を持たないアカントから重要なデータへのアクセスを検知します。また、アクセス制御ツールを使用することでログ内に「判定コード」(左から5カラム目)を設け、アクセス・ルールによりアクセスを拒否されたログのみの参照も有効です。さらに、ユーザ端末に通常使用しないトラップ用のアカウントをキャッシュに残し、このレポートからそのアカウントによるアクセスの有無を確認し、認証情報の不正使用や不正アクセスを確認する場合にも有効です。

今回はログ分析について解説しました。最終回となる次回は多重防御について解説します。


連載記事

情報漏洩対策に必要な7つの楯 Vol.1
情報漏洩対策に必要な7つの楯 Vol.2
情報漏洩対策に必要な7つの楯 Vol.3
情報漏洩対策に必要な7つの楯 Vol.4
情報漏洩対策に必要な7つの楯 Vol.5
情報漏洩対策に必要な7つの楯 Vol.7


執筆者のご紹介

アシスト伊藤 雄介

伊藤 雄介
ビジネスインフラ技術本部

1992年入社。メインフレーム時代から28年間、企業の基幹となるシステム運用管理を中心としたパッケージ・ソフトウェア導入業務に携わる。直近の15年間ではセキュリティ分野に特化したソリューション開発やセミナー講師を務める。顧客の業務要件を広くヒアリングしてきた経験から、ソフトウェアの機能中心ではなく、顧客のスコープを明確化した上での最適な提案を得意とする。

本記事をご覧いただいている方へのご案内

最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。


関連している記事

  • セキュリティ/仮想化
2019.02.01

脅威の分離、サイバー攻撃対策の現実解

「脅威分離型」アプローチに焦点をあてサイバー攻撃対策の現実解をご紹介します。

  • セキュリティ/仮想化
2018.10.01

その特権ID管理は本当にセキュアと言えるか
~特権ID管理から特権アクセス管理へのシフトチェンジ~

「特権ID管理」の重要性と簡単に管理できる製品をご紹介。さらに海外では既に主流となっている「特権アクセス管理」という概念とそれを実現する製品もご紹介します。

  • セキュリティ/仮想化
2016.09.09

クライアント環境における見落としがちな情報漏洩の新たな抜け道とは

政府が無線LANの整備を促進しています。街中でのアクセスポイントが増強され利便性が向上する一方で、企業にとっては新たな危険も潜んでいます。本稿では、そのように変化する環境の中で、企業のクライアント環境における情報漏洩対策で見落としがちなポイントについてご紹介します。

ページの先頭へ戻る