皆さんが普段運用しているシステムでは、どのようにセキュリティの監視をしているでしょうか。「ファイアウォールやIPS、WAF、アンチウイルスソフトなどセキュリティアプライアンスのアラートを監視している」という組織が多いと思います。セキュリティアプライアンスがあれば、様々なセキュリティの問題を検知・防御することができますが、高価であったり運用に専門的な知識が必要な場合が多いことから、導入が難しい場合もあります。しかし、セキュリティアプライアンスがなければセキュリティの問題を検知できないというわけではありません。日々、システムが記録しているログからもセキュリティの問題を見つけることができます。

　多くのシステムでは、システムの正常性やパフォーマンスの監視、コンプライアンス対応などのためにログを取得していると思います。サーバやネットワーク機器、アプリケーション等のログにはセキュリティ上の問題を見つけるためのヒントが残っていますので、ログの解析や集計をすることでセキュリティ的な側面を観測することができます。もちろん、機能的にセキュリティアプライアンスを代替することはできませんし、リアルタイム性にも劣りますが、セキュリティを高める効果が期待できます。

　例えば、2013年12月に、ある日本語入力ソフトがユーザが入力した情報を無断で開発元に送信するという問題が公表されました。社外秘などの重要な情報が送信されてしまった可能性もあるため、どの程度の期間にどの程度の情報が送信されてしまったのか調査する必要があると考えるのではないでしょうか。

　しかし、多くのファイアウォールやIPSなどのセキュリティ機器では、この情報送信は通常の通信に見えるため、アラートが挙がりません。つまり、問題が公表されても、自身が管理するネットワーク内でいつ頃から問題が発生していて、どの程度の影響があったのか知ることが難しいのです。

　この時、Webプロキシやファイアウォールのログを送信先を軸に集計すれば、問題が発生し始めた時期やこのソフトを使用しているクライアントがどの程度あるのか知ることができます。ただ、この事例ではHTTPSで通信が行われていたため、実際にどのような情報が送信されたのかは分かりません。このような場合は、「情報が送信された日時とクライアントからの送信量」と「情報が送信された時間帯に作成していたドキュメントやメールなど」を照らし合わせると、どのような情報が送信されたか推測することができます。

　専門的な知識がないため難しいと思われるかもしれませんが、極端なことを言えば、ログの量や傾向を見るだけでも違うのです。普段と比べて10倍の量のログが記録されていれば何かがおかしいと気づけるのではないでしょうか。特に上記の例のような、日本語入力はコンピュータを使用する上で一般的な操作ですので、大量のログが記録されます。それを起点にして詳細な調査を行えば、いち早く問題に気付くことができるかもしれません。

　ただし、ログの保存については注意しなければなりません。基本的にログはログサーバに転送することをおすすめします。ファイアウォールやルータなどはログを保存できる容量が少ないため上書きを防ぐという意味合いもありますが、サーバへ侵入後にログを削除されてしまっても、ログサーバ上のログは保全することができるためです。また、ログはテキスト形式で保存してもよいですが、データベースに保存するソフトウェアを使ったほうが検索性も高く調査時間を短縮させることができるでしょう。高価な製品を用意せずとも、オープンソースソフトウェアでまかなうこともできます。

　このように、ログを読み解く際にセキュリティの観点を取り入れることで、一般的なシステムログ、サーバやアプリケーションのログもセキュリティの向上につなげることができます。簡単な解析・集計ツールを作成してもよいですし、普段使用しているレポーティングツールでも見つけることができるかもしれません。

　ログサーバの負荷やログの保存期間、ストレージ容量などの課題もありますので、すべてのログを対象とすることは現実的ではありませんが、まずは可能な範囲内で、セキュリティ的な観点からもログを見るような運用を考えてみてはいかがでしょうか。

 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。