アクセスログの監視

アクセスログの監視は難しい

外部からのサイバー攻撃であっても、内部の不正行為であっても、アクセスログを活用して、事件・事故を速やかに検知するのは非常に困難だとされています。アクセスログには、サーバ側のログと端末側のログの2種類があり、それぞれを組み合わせることで有効なログ監視をおこなおうとします。

サーバ側で詳細なログを取得するのは、システム全体に影響を与える上、ログが膨大なため監視が難しいと言われています。そこで日本版SOX対応のあたりから、端末側の操作ログを監視するソリューションが主流となっていたように思います。確かに、オペレータレベルのユーザが、Windows端末からアプリケーション経由でデータベースの参照や抽出をおこなう、という場合には、端末側の操作ログの監視は非常に有効です。

経産省ガイドライン改正で流れが変わった

2014年夏、ベネッセの大規模漏えい事故はみなさんの記憶にも新しいかと思います。その事故を受けて2014年12月に経産省ガイドラインが改正されました。この中に明記されているのが特権ユーザの監視。Windowsからアプリ経由でデータベースを参照・抽出するという形ではなく、SSHやWRDで特権ユーザとしてサーバにアクセスした場合に、端末側の操作ログを監視しても具体的にどのような不正行為がおこなわれたのかは監視できません。また、セキュリティ対策が十分でない多くの企業は、エンジニアがrootで直接アクセスするため、だれがアクセスしたのかをなかなか特定できないという状況も多いと聞きます。

やはりお金も手間もかける必要がある

これをやれば大丈夫というものはなく、下記のような対策を組み合わせて実施するしかありません。言わずもがなですが、お金も手間もかかります。

報道された情報漏えい事故の多くは、原因が究明されています。しかし、ログ監視の仕組みを通じて、能動的に検知できたケースは非常に少なく、情報漏えいが発覚してからバックログを調査してようやく原因を究明するというケースが多いです。また、漏えいした情報を入手して、そのデータの傾向から、漸くどのデータベースから情報が漏えいしたかが特定できるということも多いのではないでしょうか。

日本国内の企業は2020年に向けて、サイバー攻撃対策も考える必要があります。内部不正行為の検知も非常に難しいのですが、サイバー攻撃への対策となるとさらに対応は複雑になります。スイスチーズモデルにイメージされる多層防御の仕組みと、発見的統制の考え方がポイントとなります。