プラクティス5-6 アクセスログの取得

背景

プラクティス5-1に記載したH社において、取り組むべきサイバーセキュリティ対策のもう一つの観点としてログの取得・分析が挙げられた。システムが出力するログは、不正アクセスの検知や被害状況の把握等の際に必要となる重要な記録である。

また、予兆やインシデントの検知のためには、事前に、ログ取得の目的や取得する項目、また保管や確認方法等を整備しておく必要がある。

H社の実践のステップ

情報システム部長は、「サーバへの対応」として挙がった、不正アクセスを検知するためのログ取得について調査した。

1. ログを取得すべきサーバを、不正アクセスのターゲットとして懸念される「最重要システム（A工場とB工場の制御系システム）」と「ユーザ認証機能をもつシステム」と定めた
2. 現在の設定では、社内を踏み台とした不正アクセス等が発生した際の調査を実施するためのログが不足しており、保管方法も再検討が必要であることが判明した

H社の実践内容

アクセス失敗のログも取得できるように設定を変更する等、ログの収集設定と保管の運用を確立させたことで、インシデントが発生した「後」に調査可能な状態にした。

情報システム部長は、不正アクセスの予兆やインシデントに気づくことを次のステップとして、情報システム部のメンバーによる日次での目視確認や専用システム(注釈)の導入等を検討し始めている。

1. 注釈
   セキュリティ関連のログを分析・監視することを目的とした専用のシステムとしてSIEM(Security Information and Event Management)システムがある。ログを一元管理し異常を自動検出するシステムである。ログの調査は対象シスムだけではなく、OS等の関する知識も必要となるため、必要に応じて外部サービスを検討することも有用である。