サーバセキュリティ(2)
ログ解析
情報システムで発生している事象や利用状況、不正アクセスの有無などを把握するために、有効
ログとは
OS、アプリケーション、通信機器などが、稼働状態、処理の実行状況、障害・異常の発生状況などについて出力した記録
ログ取得の目的
- " ログデータは、誰が、いつ、何にアクセスしたかを、成功/失敗を含めて記録する
- 問題のあるデータ操作を事後に調査する
- 直接的に防御するようなものではなく、記録をして後から追跡できるためのもの
- 実施を通知することにより悪意ある行動を抑止する効果がある
- ログ取得の条件はセキュリティ上の懸念から開示しない
ログのセキュリティ
| ログ管理に関するセキュリティ要件 | 具体的な機能や方法 | |
|---|---|---|
| 1 | ログを収めるサーバのハードディスク容量を使い切ってしまい、ログが書き出せなくなることを防ぐための機能を設ける |
|
| 2 | ログを収めたファイルの改ざんや消去を防ぐための機能を設ける |
|
| 3 | 取得したログの点検・分析を支援するための機能を設ける(ログの見える化による不正行為検出率の向上などが期待できる) |
|
| 4 | 利用者がシステムに不正行為を働くことを抑止する |
|
| ログを取得するイベント | 取得する情報 |
|---|---|
| ログイン成功 | 日付,時刻,機能番号(0001),端末ID,利用者ID,成功(1) |
| ログイン失敗 | 日付,時刻,機能番号(0001),端末ID,ログインしようとした利用者ID,失敗(0) |
| ログアウト | 日付,時刻,機能番号(0099),端末ID,利用者ID |
| ログインとログアウト以外の機能の利用成功 | 日付,時刻,機能番号(1000〜9999),端末ID,利用者ID,成功(1) |
| ログインとログアウト以外の機能の利用失敗 | 日付,時刻,機能番号(1000〜9999),端末ID,利用者ID,失敗(0) |
| 記録されるもの | |||
|---|---|---|---|
| OSが出力するログ | UNIXシステムログ | UNIX系OSが出力するログ。 | ログイン プロセスの起動/終了 コマンド実行など |
| イベントログ | Windows系OSが出力するログ。アプリケーションログ、セキュリティログ、システムログに分かれている。 | 各種イベントの発生状況を記録
アプリケーションの起動・停止 ログイン、ネットワークへの接続 システム設定の変更など | |
| 一般的な サーバアプリケーションが出力するログ | Webサーバアクセスログ | Webサーバプログラムが出力するログ | 各クライアントからのアクセス履歴 |
| SMTPサーバログ | SMTPサーバアプリケーション(sendmailなど)が出力するログ | メールの配送履歴 | |
| プロキシサーバ | プロキシサーバが出力するログ | LAN上のクライアントからインターネット上のWebサイトへのアクセス履歴など | |
| DBログ | DBMSが出力するログ | DBへのアクセス履歴 操作履歴など | |
| セキュリティ関連製品が出力するログ | ファイアウォールログ | ファイアウォールが出力するログ | パケットの接続許可(Accept) 破棄(Drop) 接続拒否通知や破棄(Reject)の履歴 ファイアウォールの稼働状況 |
| IDS/IPSログ | IDS/IPSが出力するログ | 検知した不正アクセスの履歴 | |
| ウイルスログ | ウイルス対策ソフトが出力するログ | コンピュータウイルスの検知・駆除などの履歴 | |
