8.2 不正アクセス検知のための運用
前のページへ
次のページへ

8.2.1 ログの運用

1) ログの重要性

システムのトラブルやユーザの行動などの情報はログファイルに出力され、問題解決の重要な手がかりと成りえる。例えば、対象システムが不正行為を受けた場合、システムや各サービスまたはアプリケーションが出力するログに攻撃の痕跡が出力されることがある。そのログを分析することで、いつ頃からどのサービスに対して、どのような攻撃手法で攻撃を受けたかを判断することが可能になる。このようなことから、定期的にログの監査を実施することで、現在のシステム状況を分析することは、セキュアなシステム運用には不可欠な作業である。

しかしながら、ログはすべてのトラブル情報を記録することが不可能であるため、ログに不正行為の痕跡が存在しない場合でも、システムが被害を受けている可能性がある。

また、管理者にとって重要な情報を提供するログファイルは、常に攻撃者から改ざんの対象となっているので、ログファイルを完全に信じることは危険である。熟練した攻撃者は攻撃の痕跡をログファイルからきれいに抜き取ってしまう技術を持っているので、ログファイルに攻撃の痕跡が存在しないからといって侵入されていないとは限らない。

2) ログの種類と設定方針

ログの種類には複数あり、システムで一括管理されているものや、ソフトウェア自身が独自のログシステムを持っているものなどがある。前者の代表的な例としては、UNIX系OSのsyslogやWindowsのイベントログがあり、後者の代表的な例としては、ApacheのアクセスログやIISのアクティブログなどがある。それぞれ独自の設定方法を持っているが、ログ出力設定の方針としては、まずできるだけ多くの情報を出力し、運用を行う上で不要な情報の出力を停止するようなアプローチが望ましい(注1)

ただし、あまり多くの情報を出力しすぎるとシステムと管理者の負担が増大してしまうので、注意が必要である。また、複数のログが存在する場合、ログファイル保管用ディレクトリを作成し、すべてのログをそのディレクトリの配下で一括管理することで、管理者の運用作業を軽減することが可能である。

  (注1) ログはできるだけ多くの情報を出力するように設定することが望ましい。出力する情報が少ないと、問題が発生した際に、トラブルシューティングができなくなる場合がある。  

3) ログのバックアップサイクルと運用方法

ログファイルは多くの情報を記録するため、ファイルサイズの増加率が非常に高く、ディスク容量を圧迫してしまう可能性があるので、十分なディスク容量を持ったディレクトリ下で各種ログファイルの一括管理を行う。また、ログは貴重な情報を含んでいるので、毎日、バックアップを実施することが望ましい。

複数のサーバーのログを管理する必要がある場合、ログ管理用サーバーを準備することでよりセキュアで統括的なログ管理を実施することが望ましい。これを実行するには、独自で各サーバーのログをログ管理サーバーに送信するようなシステムを構築するか商用またはフリーのログ管理ソフトウェアを導入する必要がある。

また、ログ監査より不正行為を発見した場合は、セキュリティポリシーにしたがった対処を実施する。実際の対応手順に関しては、「8.3.1 セキュリティポリシーにしたがったインシデント対策」を参照する。

 

前のページへ
目次へ
次のページへ
セキュリティ維持作業
第8章の目次
ログの監査


Copyright ©   2002 Information-technology Promotion Agency, Japan.  All rights  reserved.