セキュリティ入門Web講座

ログは取っていますが、何かしなければいけないのでしょうか? ~ ログを使う目的1:調査 ~

「ログは取っていますが、何かしなければいけないのでしょうか?」とご質問いただいたので、こちらでご紹介します。

ログを使う目的

広告枠・・・広告やリンク先の保証はしません

ログを使おう!

セキュリティ対策では、よくログのお話が出てきます。
「ログを取る設定にしましょう!」と言われていますので、セキュリティ対策として取得設定をしているところは多いです。
しかし、取得設定をしただけで、その後、何もしていない・・・という場合も多いです。
セキュリティ対策としては、取得設定だけでは十分ではなく、行ってほしいことがあるのですが、残念ながら行われていません。
「何かあった時に見るものでしょ?」と言われることもしばしばです。

セキュリティ対策としてであれば、ログを取るのであれば、積極的に「ログを使おう!」ということで、実際にやってほしいことから見た、ログを使う目的についてお話をします。

ログを使う目的

ログを使う目的は大きく分けると次の3つです。

  1. 調査
  2. 検知
  3. 抑止

それぞれについてお話をします。

調査

先ほどお話をした「何かあった時に見るものでしょ?」を目的とした使い方です。
何かあった時に調査するのですが、そのために必要な情報として使います。

ここで、やってほしいのが、次の2つです。

  1. ログの保存期間を決める
  2. ログの保存場所を確保する

ログの保存期間を決める

サーバのような長時間動作するモノの場合、時間が経過するに連れてログがどんどん増えていきます。
次にお話をする保存場所がいくらでもある状態であればよいですが、記憶装置という物理的な限界があることがほとんどです。
どれほど記憶装置が大きくても、ログのサイズが小さくても、限界がある以上、ログを消していかないと、新しいログが保存できなくなる時期が必ずきます。
その時期がくる前に消せるように、消す時期を決める必要があります。

ログの保存場所を確保する

このログを保存する場所は2つの意味があります。
一つは、サーバなどのログを生成する装置にある記憶装置という意味です。
ログをネットワーク経由で別の場所に保存するということもあります。
その場合であってもネットワークに異常が発生した場合に備えて、生成する装置にログを保存する機能がある事が多いです。
このため、ログを生成する装置には、ログの記憶装置は必須と考えていた方が良いです。
この生成する装置のログの記憶装置を考える必要があります。

もう一つは、先ほどの例でお話をした「ネットワーク経由での別の場所(記憶装置)」です。
動作を調査する場合、問題が発生した直近の情報だけではなく、長時間の情報が必要になる場合もあります。
例えば、発見できていなかっただけで、長い間問題があった場合です。
このような場合を考えると、一つ目の生成する装置のログの記憶装置保存できなくなる前に、「別の場所(記憶装置)」に保存することも考えた方が良いです。
この「別の場所(記憶装置)」と「保存する方法」を考える必要があります。
この「保存する方法」の一例が先ほどの「ネットワーク経由」です。
別の場所(記憶装置)」に保存できれば、「ネットワーク経由」に限らず、「バックアップを取る」でもよいですし、「外付けハードディスクに保存する」など、他に方法があればそれでもよいです。

次回は、ログを使う目的の2番目「検知」のお話をします。

タグ:, ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!