三輪 信雄 ラック 不正アクセス対策事業本部長
セキュリティ対策でおろそかにしがちなのがログの収集と分析である。不正アクセスに遭遇したときに,的確に対応するにはログの収集が不可欠。また,普段から収集したログを分析することで,不正アクセスの未然防止も可能だ。今回は実際に不正アクセスに遭遇した2社の事例を基に,ログ追跡管理のノウハウを紹介する。
ネットワーク・セキュリティを確保するには,セキュリティ製品の導入や運用体制の整備だけでは不十分。ネットワークの要となるファイアウォールやサーバーでログを収集し,必要に応じて分析することが重要だ。
平常時からのログの収集が基本 迅速な原因究明が可能に
|
|
図1 安全に見えるネットワークでもログの記録は必須 A社のネットワークはインターネットと接続しておらず,不正アクセスは不可能と安心していた。このため,サーバーのログは取っていなかった。しかし,実際にはリモート・アクセス・サーバー経由で不正アクセスされてしまった。ログを取っていなかったため,不正侵入された後の原因の解明などが的確にできなかった。 |
ログを取っていなかったA社では,不正アクセスの原因を究明するのに3カ月も費やした。しかし,サーバーやリモート・アクセス管理装置でログを取っていれば,より早く侵入経路などを特定できたはずである(図1[拡大表示])。
侵入経路が追跡できない
金融機関のA社は,社内ネットワークをインターネットに接続していない。不正アクセス防止のために,直接アクセスできないようにしている。社内ネットワークのプロトコルはTCP/IPだったが,インターネットから隔離しているため,不正アクセスは不可能と安心していた。
ところがある日,社内の顧客情報の漏えいが判明した。A社は,この不正侵入の経路を追跡できなかった。ハード・ディスクの容量を節約するために,顧客情報を管理するサーバーのログ収集を止めていたからだ。
侵入は他人のIDとパスワードを利用して実行された可能性が高い――。そう判断したA社は,当面の対策として,顧客情報へアクセスするためのユーザーIDとパスワードをすべて取り消した上で再発行した。さらに,パスワードは入力を3回間違えると無効になるように設定し直した。
ただ,侵入経路は不明で,ほかの方法で侵入された可能性も否定できなかった。そこでA社は,サーバーでアクセス状況やプロセスの実行状況のログを収集することにした。原因が分からないだけに,システム部にとっては落ち着かない毎日であった。
