セキュリティ啓発..ログの「監視」と「管理」を知る｜SecuAvail NEWS Vol.11

vol.11

2017.7

次世代ファイアウォールの膨大なログを使いこなす！

誌上セキュリティセミナー

セキュリティ啓発..ログの「監視」と「管理」を知る

神戸仁取締役

グランフロント大阪・コングレコンベンションセンター（大阪市北区）でこのほど開催されたITイベント「セキュリティ関西2017」（日経BP社主催）において、当社の神戸仁取締役が講演を行いました。　

約100 人の聴衆でにぎわった会場

テーマは「セキュリティ啓発..ログの「監視」と「管理」を知る」。セキュリティ対策の第一歩目に当たるログ管理で、まず手掛けるべきことは何か。その要諦は、意外なところにありました。以下の講演録より、ご確認下さい。

対策から入らない。現状把握から入る

セキュリティについては、必要かどうかでなく、「何を／どの程度／どの順番で／どのくらいの費用でやるか」だと捉えて下さい。最新のセキュリティ技術と言っても、ベンダーにとって新しいだけ。最新の情報はベンダーが作っているだけなんです。それが役に立つのか、使うべきかどうか、ジャッジするのはあなた方です。

正しいセキュリティ対策の考え方は、理想があって、現実があって、現実を理想にどう近付けるか。企業経営でも何でも一緒です。

ここで、視点を変えてみましょう。

医療行為では、問診をして検査をして、精密検査からさらに検査入院までします。調べて調べて、こういう症状だから薬か手術か、ということを決める。にも関わらずセキュリティでは、どうも対策から入りがちです。それはおかしい。医療なら、膨大な臨床データベースから数値を比較して、原因や病名を特定してから治療します。

セキュリティも同様です。では、何をもって現状を把握すべきか。それは、ログでしか分かりません。今あるものがちゃんと稼動しているか、脅威を遮断できているか、あるいはオーバースペックではないか。ログ分析・管理なしでは、現実的に判断のしようがないのです。セキュリティ対策のまさに第一歩が、ログ分析・管理です。

図1:医療もセキュリティも、プロセスは同じ。

数字を見るのではなく、数字の意味を知る

図2:典型的なログの生データ

さて、ログ管理の実践です。

ログは見やすくしてもこんな感じ（=図2）で、これがまた膨大にあります。一方、レポート（グラフ）にまとめると（=図3）、数値が多い所、少ない所に目が行きがちですが、そもそもプリンタ5台を導入するときに月間出力25,000枚を想定していたとしたら、想定外なのは枚数の少ない4台の方になりますね。どこを見るか、何を基点にするかで、ログの見方は全く変わります。

図3:プリンタの月間出力枚数を比較したグラフ

人間、ログのレポートを見ると、つい隣同士を比較して、平準していないところを異常と見がちです。でもログでは普通、そこまで突出したデータは出ません。余り差のないデータを眺め続けるうちに、飽きてログ自体を見なくなるのも、また人間。

ログは単に見るのではなく、それが表している意味を「知る」ことが大事なんです。具体的には、①「定義」付けをして②良否の「基準」を決め③環境／状況の変化に応じて「定義」を再設定すること、です。

結果を見てジャッジし、次の「PLAN」に繋げる

図4:ログマネジメントサイクル

ログマネジメントサイクル。こういう考え方があるということを、今日は持って帰っていただきたい。いわゆる「PDCA」を、ログに応用したものです。

「P」ではどこを見るのかを決め、「D」ではログレポートを実装、「C」ではアラート基準を定めて、「A」で結果をちゃんとジャッジする。

「A」は一般には「Action」ですが、今回は「ジャッジ」です。そこから次の「P」に繋げないと、サイクルは回りません。

ここで大切なのは、どのログを捨てるのかということ。不要なデータを捨てないと、見つけたいものが見つかりません。

九州のある市役所では、「1セッションで10GB以上の通信を異常とする」と定義したところ、9割は不要なログとなりました。

データの要・不要を判断するには、まず仮説を立てることです。例えば、標的型メール攻撃を検知するのにはどうすべきか。深夜にどこかにアクセスしている、起動アプリがそれまでと変わる、同一サーバ（ C & Cサーバ）にずっとアクセスしている、など、兆候は色々あります。まず、どの兆候でアラートを鳴らすべきか仮説を立ててやってみて、駄目なら指標を変えていく。これがログマネジメントサイクルを回すための、基本的な姿勢です。

このような取り組みを進めていくと、最終的には、理想的なログレポートは「白紙」となります。