毎週発行されているパートナーNewsより選り抜きの記事をご紹介！ 第四回　『セキュリティポリシー：利用者の特定と監査』 ● ログ管理方式 ■ セキュリティポリシー：利用者の特定と監査 前回は利用者の特定と監査の内、個人認証方式について記述してきましたが、今回は利用者の特定と監査でログ管理方式について記させていただきます。後先になりますが、セキュリティ並びにシステムの堅牢性にとって利用者の特定と監査は非常に重要なファクタになってきます。 情報漏洩、システム破壊等の事故に対する防御、事故発生後の捜査には、この３要素、・個人認証、・ログ管理、・マネージメントによるオーディットが必須条件になってきます。 ● ログ管理方式 システム上の行動のエビデンスとして、ログを管理する必要があります。それは、システムを取り巻く環境に対し、いつ、どこで、誰が、何を、どう行ったか、といった５Ｗ１Ｈの履歴記録を取得することにより以下の効果を生み出すものです。 ・不正な取引/アクセス、情報漏洩の抑止 ・不正行為が行われた時の情報検索、統計情報としての利用 ・統計情報としての利用(サマリ/アベレージ/レシオ) 具体的には、上記に密接に関係するシステム/アプリケーションから、５Ｗ１Ｈ形式の情報の収集とフォーマットを統一し、ログの抽出、加工、運用(保存、保管)、レポート、監視のスタンダード化を図る必要があります。 また、セキュリティ以外の観点で必要とされるログに対しても、当該基準を採用する必要があります。 ログ管理方針として、以下の検討が必要となります。 ・ログ管理対象 　ログ管理目的を踏まえ、情報漏洩やデータ破壊といった損失の疑いの発生時に備え、トレースが必要なログ情報を検討します。なお、管理対象については、時間の経過、条件の変化によって変更がかかる可能性があります。対象が絞り込めない場合は全てのネットワーク上のパケットを全て取得する、というのもひとつの方策です。近年、データフォレンジック（科学捜査）と呼ばれています。 ・ＡＰログ管理 　現状のアプリケーションでは、値引き、単価変更、図面出力といった重要かつ機密度が高いデータ処理(取引)が実行された場合、その操作が行われた事実のトレースが可能なログ情報を取得していることが多いです。こういったアプリケーションでしか検知が不可能な取引のログについては従来どおり、アプリケーションでのログ取得が必要です。 実際のログ取得対象ですが、以下の絞込みが必要です。 ・ログ取得内容 　システム的に取得可能な5W1H情報を規定を行います。 ・ログ取得対象取引 　情報漏洩と潜在的脅威(損害と価値の低下)から、対象取引を規定します。 ・ログ取得対象時間帯 　システムのサービス時間、処理時間(バッチ)等により、時間による制限がある場合、ログ取得時間を規定する必要があります。 ・ログ取得対象場所 　端末の利用場所(設置場所)による、ログ取得対象を選定するための基準を、選ぶ必要があります。 ・ログ取得対象アクセス権範囲 　リーガルオペレーション以外の利用可能アクセス権外(例外利用時)の対応を決定する必要があります。 ログ保存方式ですが、上記で規定したログ取得対象を以下の方式によって保存します。 ・各ＡＰサーバ上で取得 　現状のログ保存はほとんどが各ＡＰサーバで保存され管理されている例が多いと考えられます。 ・ログ取得対象アクセス権範囲 　ログ管理サーバを立ち上げ、今後構築予定のシステムについては、規定のＡＰＩにて、ログ管理サーバに送信して全てのログを一元的に管理します。既存のシステムで個別に管理されているログについても、他のログとの一元的な管理を可能とするため、バッチ処理にてログ管理サーバにログデータを移し、管理を移管します。 ・フォレンジックサーバでの取得 　フォレンジックサーバを立ち上げ、ネットワーク上の全パケットを吸い上げます。 取得したログの保存期間を決定し、保存期間を過ぎたものは適切にバックアップを取ることが求められます。理想はデータの種類により保存期間、バックアップ基準を変えることが理想ですが、あまり細かい取り決めはシステム構築上複雑にすることとなり、得策ではありません。 ログの使用方式ですが以下の４使用方法について考慮する必要があります。 ・オンライン使用 　不正な取引やアクセスに対する条件を定め、その条件が成立したログが書き込まれた時に、当該ログ情報の確認を可能にする使用方法が必要となります。予め閾値を定め、監視することにより実現可能です。 ・ディレードとして使用 　一日もしくは、ある一定期間の集計終了後、不正な取引やアクセスの事実が記録されていないかのチェックと当該ログ情報の確認を可能にします。 ・統計情報として使用 　時間単位、ログ種別、ログの重要度、ユーザID等の条件に従って、ログ情報をサマリし、その条件によるログの統計情報の提供を可能にします。 ・監査/捜索情報として使用 　何らかの問題点／事件が発生した時点で、５Ｗ１Ｈの検索条件による捜索を可能にします。ただし、詳細な捜査においては一箇所のログだけでは不完全で複数の方式によるログを参照にする必要があります。 コラム・タイトル一覧 第三回　『セキュリティポリシー』　← 　 →　第五回　『セキュリティポリシー：利用者の特定と監査』(2)