Aegis Wall

特権IDの個人認証/アクセス管理を低コストで実現

要点2「ログの適切な記録と監視をする」

前項の「ユーザーを一意に識別する」でご説明したように個人を一意に識別した形で、ログを記録してモニタリングすることで、正当な業務なのか、不審なアクセスなのかを区別し、インシデント発生のリスクに対して早期から対応できるようになります。

また、悪事は発覚すると知らしめる環境を作ることで、サイバー攻撃や内部不正に対するけん制効果も期待できます。
  

ログ管理の要点には以下の5つがあります。
いずれも対策を検討される際には欠かせないポイントだと思われます。

正確に記録できること

ログは何かインシデントが発生した際に、その原因と実行者を特定できなければ、コストをかけて大量のログデータを保存していても意味を成しません。 そのため、前項でご説明していた精度の高い個人特定に加えて、「いつ」「誰が」「どこで」「どうした」という項目ごとに正確に記録し、分類された形でログを保管することが重要です。
時刻、操作内容、結果値まで正確であってこそ、インシデント発生時のフォレンジック調査と復旧にかかる莫大なコストを削減することが可能になります。

 

あらゆるアクセス方法を網羅すること

リモートアクセス、WEBサーバー/アプリケーションサーバーを経由したアクセス、コンソール接続、とデータベースへのアクセスには、抜け道になりがちなものも含めて様々なルートが存在します。 たとえデータベースの全操作を記録していても、データベースのログイン情報と操作内容のログのみでは誰が操作したのかを判別できず、なりすましを特定するには不十分です。

 

リアルタイムで取得できること

内部不正も外部からの不正侵入も、システムに致命的なダメージを与えるような誤操作も、いかに早く検知するかが被害を抑えるためのポイントになります。
たとえログを記録していても、管理サーバーへの転送は1日1回などの一定間隔の周期で行われているようでは、せっかくログを記録していてもインシデント対応は後手に回ってしまいます。

 

管理ポイントを定めて効率化すること

ログの監視をするにあたっては、重要なログが不要なログに埋もれないよう仕分けすることも重要です。
毎回、膨大な量のすべての操作を記録したログから検索しようとすると、いくらハードウェアのスペックを高くしてもキリがありません。アプリケーション経由のアクセスは、定型の何度も繰り返される操作以外はアラートを上げる、開発やチューニングなど一回限りの操作は全て記録する、など業務の性質ごとに管理するポイントを定めて効率化を図ることが肝要です。

 

ログ改ざんの予防策を設けること

せっかく正確なログを記録しても、不正操作でログを改ざんされてしまっては意味がありません。 記録したログへのアクセス権を制限し、そのログにアクセスしたログを記録する、さらにログの管理者をサーバーの管理者と権限を分けるなど、ログを改ざんから守るための策を講じることも重要です。

PAGE
TOP