プラクティス5-6 アクセスログの取得
プラクティス5-1に記載したH社において、取り組むべきサイバーセキュリティ対策のもう一つの観点としてログの取得・分析が挙げられた。システムが出力するログは、不正アクセスの検知や被害状況の把握等の際に必要となる重要な記録である。
また、予兆やインシデントの検知のためには、事前に、ログ取得の目的や取得する項目、また保管や確認方法等を整備しておく必要がある。
H社の実践のステップ
情報システム部長は、「サーバへの対応」として挙がった、不正アクセスを検知するためのログ取得について調査した。
①ログを取得すべきサーバを、不正アクセスのターゲットとして懸念される「最重要システム(A工場とB工場の制御系システム)」と「ユーザ認証機能をもつシステム」と定めた
②現在の設定では、社内を踏み台とした不正アクセス等が発生した際の調査を実施するためのログが不足しており、保管方法も再検討が必要であることが判明した
H社の実践内容
アクセス失敗のログも取得できるように設定を変更する等、ログの収集設定と保管の運用を確立させたことで、インシデントが発生した「後」に調査可能な状態にした。
表1 ログ取得の観点で発見された問題点と実践内容の例
| 発見した問題点 | 実践内容 | |
|---|---|---|
| アクセスログの取得 |
|
|
| アクセスログ等の保管 |
|
|
情報システム部長は、不正アクセスの予兆やインシデントに気づくことを次のステップとして、情報システム部のメンバーによる日次での目視確認や専用システムの導入等を検討し始めている。