業務に使用するパソコンやタブレットのログ分析は、セキュリティ運用において欠かせない施策のひとつです。この記事では、自社のセキュリティ対策を検討中の方に向けて、ログ分析のメリットや、分析に利用するログの種類、ログ分析の課題などを解説します。ぜひ、役立ててください。
セキュリティ対策における「ログ分析」とは
不正アクセスやマルウェアの侵入を防止する、という従来のセキュリティ対策では、侵入されてしまった後の打つ手が限られます。そのことから、セキュリティ対策は、異常が発生していないかを常に監視する方法に重きが置かれるようになりました。異常の発生を検知するために欠かせないことがログ分析です。
セキュリティ対策にログが必要な理由
ここでは、セキュリティ対策にログが必要な理由である「ログの収集・集約」「検知」「分析」について解説します。
ログの収集・集約
長期にわたりログを収集して、1カ所に集約しておけば、ログ分析に使用できるデータを蓄積できます。データが蓄積されれば異常を検知しやすくなります。社内ユーザーによる情報漏えいや、内部犯行といったインシデントの防止や早期発見、再発防止にログの収集と集約を役立てることが可能です。
検知目的
不正アクセスやウィルス感染といった外部からの攻撃は、対策を講じたとしても100パーセント防止できるものではありません。そこで、ログの監視・分析によってシステムに侵入した外部からの攻撃を迅速に検知し、被害を最小限に抑えることがセキュリティ対策における重要なポイントとなります。
分析目的
操作ミスや内部犯行による情報漏えいといったインシデントが発生した際、ログを分析することによって、情報漏えいの状況や侵入経路などを追跡できます。さらに、被害を最小限に抑えるための対策や、インシデントを未然に防ぐための対策に役立てることも可能です。
セキュリティ対策におけるログ分析のメリット
ここでは、セキュリティ対策における、ログ分析のメリットを4つ解説します。
情報漏えいの防止になる
ログ分析によって、情報漏えいの原因になりかねない不正操作などを、迅速に検知できることを社内に周知すれば、ヒューマンエラーの抑止につながります。また、ログ分析ツールが持つ不正アクセスの検知・ブロック機能も、情報漏えいを防止します。
外部からの攻撃を検知できる
前述したように、ログ分析ツールには、外部からの攻撃を事前に検知する機能があります。不正アクセスやマルウェア攻撃などの外的脅威が、社内システムに侵入しようとしても、未然に防げるのがメリットです。万が一、外部からの攻撃をブロックしきれずに侵入を許してしまった場合でも、早期に検知できるため、迅速な対策を講じられます。
内部不正の抑止効果がある
内部不正とは、社内の関係者が会社の情報を意図的に漏えいさせたり、リモートワーク環境で許可されていない操作をしたりすることです。ログ分析を実施して、業務に使用する電子機器やシステム、ネットワークを監視していることが社内に周知されることによって、内部不正を抑止する効果があります。
システム障害を防げる
サーバーへのアクセスやトラフィックの急増などは、システム障害の原因となりかねません。ログ分析ツールで、システム障害の原因になりかねないイベントを事前に検知することによって、トラブルが大きくなる前に対処できます。早期に対処することで、システム障害の防止につなげられます。
セキュリティ対策で利用するログの種類
ここでは、セキュリティ対策で利用する主なログである「操作ログ」「認証ログ」「イベントログ」「設定変更ログ」「印刷ログ」について解説します。
操作ログ
ログの中では最も一般的なものです。登録された電子機器の「電源オン/オフ」や「ログイン/ログアウト」から、システムやネットワークへのアクセス、ファイルの閲覧や編集まで、ユーザーが操作した履歴が記録されます。
認証ログ
ネットワークやシステムへのログイン履歴です。特に、ログインに失敗したエラー回数が記録される点が重要で、エラーの多いアカウントを管理対象にすることにより、不正アクセスや情報漏えいの防止につながります。
イベントログ
システム内部で発生した現象や動作をイベントといいます。イベントログは異常なイベントや特定のファイルへのアクセスなどの履歴で、アプリケーションログ、セキュリティログ、システムログに細分されます。
設定変更ログ
パソコンやネットワークの権限を持つ担当者が、設定を変更すると記録されます。パソコンの基幹設定変更や、設定変更による証拠隠滅の履歴も残るため、不正な設定を行うといった内部犯行が起きた際の調査に役立ちます。
印刷ログ
プリンターでの印刷やスキャンデータの転送が行われた場合、ドキュメントの名前や印刷枚数、日時などの履歴が残ります。不要な印刷によるコスト浪費や情報漏えいが疑われる不要な印刷の監視が可能です。
ログを利用するセキュリティ業務とは
ここでは、ログを利用するセキュリティ業務である「フォレンジック業務」「ハンティング業務」「監査・監視業務」について解説します。
フォレンジック業務(分析目的)
フォレンジック(デジタル・フォレンジック)とは、外部からのサイバー攻撃やインシデントを被った企業が、法的証拠を押さえる目的で行うデジタル鑑識です。問題がいつ発生したのかを正確に調査する必要があるため、ログの保持期間は1~5年間と比較的長期になります。
ハンティング業務(検知目的)
ハンティング業務とは、ログの中から攻撃の予兆や未知の脅威を探して検知する活動で、高度な専門的スキルが必要とされます。ハンティング業務で検知した脅威を分析することで、早期対策が可能になり、ダメージを最小限に抑えます。ハンティング業務から汎用化できたロジックを、監査業務や監視業務に取り入れることもできます。
監査業務(検知目的)/監視業務(検知目的)
こちらもログの中から脅威をいち早く検知する業務です。
監査業務は内部不正を対象に実施されるもので、ログの内容や過去のトレンドを踏まえたレポートを作成し、不正の予兆がないかを確認します。外部からの攻撃を対象に、SIEM(Security Information Event Management)を用いて実施します。
ログ分析のポイント
パソコンやタブレットなどの IT 機器やアプリケーションなど、複数の場所から収集されるログを1カ所に集めて一元管理し、整理することが重要です。それを踏まえて脅威の予兆を検出するために、分析結果やログの保存状態に関するレポートを作成しましょう。
ログ分析の課題
大企業のログの数は膨大です。それを情報システム部門の担当者が、ログの収集から管理、分析まで行うには、リソースを確保するのも難しいでしょう。また、ログ分析を活用するには、スキルや経験の蓄積を要し、強固なセキュリティ対策ができるまでに時間を要します。
迅速にセキュリティ対策をするためには、ログ分析を含めた総合的なセキュリティサービスの活用がおすすめです。
アウトソーシングによる課題解決
ログ分析を含むセキュリティ対策の課題を、アウトソーシングである「マネージドセキュリティサービス(MSS)」を活用して解決する企業が増えています。自社でリソースを確保できない場合でも、経験豊富な専門家によるハイレベルなログ分析を実現できます。
マネージドセキュリティサービス(MSS)では、不審なログや検知したセキュリティアラートに対し、誤検知の有無や危険度の判断も行われます。加えて、想定される被害やそれに対する対策案などを、担当者へ通知するサービスもあります。万が一、問題が発生した場合も、迅速で適切な対処を取ることが可能になります。
まとめ
サイバー攻撃や内部犯行による脅威へのセキュリティ対策には、ログ分析が欠かせません。ログ分析に関わるリソースの確保が難しい場合は、マネージドセキュリティサービス(MSS)を活用する方法があります。これにより、ハイレベルなログ分析のアウトソーシングが実現します。
SBテクノロジーのマネージドセキュリティサービス「MSS」は、クラウドにおける経験豊富なセキュリティ専門アナリストが、蓄積したノウハウを活用してお客様のクラウド環境を安全に保護します。また、SBテクノロジーがシステム監視を24時間365日行うため、お客様の負担を大きく軽減することが可能です。
ぜひ、無料の資料請求やお問い合わせをご利用ください。
