ログを取る？ログを確認する？

［第8回］

星代介

ラックサイバーセキュリティ事業部セキュリティアカデミー

2018.11.02

　とある企業の情報システム部門。そこで元気一杯に働いているのが、ちょっと頼りない若手社員、通称「ネコSE」だ。セキュリティに関する豊富な知識を持つ「センパイ」に日々、鍛えられている。今回は、ログについて考えてみたぞ。

センパイ：猫瀬君、何だか今日は表情が暗いね。

ネコSE：ええ、実はこのごろ三毛子さんがそっけないんです。でも理由が全くわからなくて。

センパイ：片思いだしなぁ。

ネコSE：これといって思い当たることもないんです。

センパイ：いつからなんだい？

ネコSE：日記を見ればわかるかもしれません。

センパイ：お、素晴らしいね。

ネコSE：いきなりほめられた。何が素晴らしいんですか？

センパイ：ちゃんと記録を取っているということさ。記録をちゃんと取っておけば、何かあったときに原因を調査できるからね。コンピュータと一緒だね。

ネコSE：何が一緒なんですか？

センパイ：ログさ。

ネコSE：ええと、ログって何でしたっけ？

センパイ：ざっくりいえば、記録のことだね。コンピュータがどんな動作をしていたかを記録として残しておく。記録を残すことを「ログを取る」というよ。有事の際にはログを調査することで原因を調べるんだ。

ネコSE：私は三毛子さんとの出会いから今日までをWebの日記につけていますが、これもログなんでしょうか？

センパイ：それはいわゆるブログだね。もともと「ウェブログ」と呼ばれていたものを短縮した言葉だ。語源は「WebにLogする」ことだそうだよ。

ネコSE：ログで家を建てたらログハウスですね。なんちゃって。

センパイ：いや、そんなに的外れじゃないよ。ログの語源は丸太だといわれているよ。つまりログハウスのログだ。

ネコSE：今日も才能を無駄使いしちゃいました。

センパイ：昔の人は、丸太にロープを結んで海に投げ入れ、船の速度を測っていたそうだよ。なので、航海日誌のことをログブックと呼ぶとか。

ネコSE：雑学王になれそうです。

センパイ：例えば、猫瀬君が何かの事件に巻き込まれて、犯人に仕立て上げられたとするね。

ネコSE：ぐむむ。真犯人は別にいるということですね。もしかしてこの部屋に…。

センパイ：日記を毎日つける習慣があれば、その日、その時間に何をしていたかがわかる。いい意味でアリバイができるね。

ネコSE：三毛子さんとの空想デートも結構な頻度でありますが、大丈夫でしょうか。

センパイ：うーん、それじゃ内容については参考にならないな。妄想癖があるのは不利かも。

ネコSE：それは残念です。これからは事実と空想を分けて書くよう気をつけます。

複数のログを突き合わせる

センパイ：実は、人間が作成してコンピュータに保存した電子的な文書は、証拠としてはあまり効力がないという考え方もある（図1）。本当のことを書いている保証はないからね。

図1●電子的な記録の種類

コンピュータが自動的に生成した記録は電子的証拠になるが、人が作成してコンピュータに保存した記録は電子的証拠にはならない。

[画像のクリックで拡大表示]

ネコSE：じゃあ結局、私のブログは役に立たないということですか？

センパイ：安心してくれたまえ。コンピュータが生成するログをちゃんと取っておけば、潔白を証明できるよ。電子的証拠として効力があるのはコンピュータが生成した記録だ。

ネコSE：自動的に生成されたもののほうが証拠として価値が高いんですね。

センパイ：ブログサービスのシステムのログや、猫瀬君のパソコンのログ、ISP^▼のログ、こうした様々なログを突き合わせてみて矛盾がなければ、猫瀬君の無実を証明できる。

ネコSE：突き合わせるってどういうことですか？

センパイ：システムは通常、いろいろなハードウエアやソフトウエアによって成り立っている。また、通信はいろいろなシステムを経由して成り立つケースが多い。そこで、時系列に沿ってそれぞれのログを追っていくと、例えばある日に猫瀬君がまず何をして、次に何をして、いつ帰ったか、といった具合に行動を推測できるんだ（図2）。