セキュリティ入門Web講座

ログは取っていますが、何かしなければいけないのでしょうか? ~ ログを使う目的2:検知 ~

前回からセキュリティ対策としてログを取るのであれば、積極的に「ログを使おう!」と銘打って、ログを使う目的についてお話をしています。
今回は、ログを使う目的の2番目「検知」のお話をします。

ログを使う目的

ログを使う目的は大きく分けると次の3つです。

  1. 調査
  2. 検知
  3. 抑止

実際にやってほしいことから見た、ログを使う目的の2番目「検知」についてお話をします。

広告枠・・・広告やリンク先の保証はしません

検知

「検知」にはログの使い方によって次の2つの意味があります。

  1. からの攻撃などを検知する
  2. 内部の不正な動きを検知する

からの攻撃などを検知する

ログをリアルタイム(常時)確認していると、攻撃を受けていることがわかる場合もあります。
単純な間違いもあるため、外から正常ではない通信などが発生する場合もあります。
その場合であれば、少数でしょう。
しかし、攻撃を受けている場合、外から正常ではない通信などが多数発生するため、正常ではないというログが多数あれば、攻撃されていると判断できます。
ただ、セキュリティ対策で実現した防御力が低ければ、少数で突破されることがあるので、「必ず多数」とは言い切れないところが悩ましいところではです。。。

内部の不正な動きを検知する

ログを頻繁にみていると、通常業務ではない動作がログに記録されるとわかるようになります。
通常業務ではないということは、内部異常なことをしている人がいるということです。
この異常なことが、情報漏洩などであれば内部犯ということになり、大問題です。
また、ウィルス(マルウェア)に感染した場合も、内部からの通信が増えるなどの異常が発生します。
このようなことも、ログから検知することができます。

セキュリティ対策としてやってほしいのは・・・

やってほしいことは次の2つです。

  1. 定期的にログを確認する
  2. ログの異常を検知するツールを導入する

定期的にログを確認する

定期的にログを確認してほしいです。
特に、2番目の内部の問題に対処するには、この「定期的に確認する」ことで、防げる確率が上がります。
また、定期的に確認することにより、ログを見る訓練にもなり、防御能力の向上にもつながります。
ただ、中小企業の場合、そこまで人員を配置できないかもしれません。
その場合は、次のツールを導入してはいかがでしょうか。

ログの異常を検知するツールを導入する

セキュリティ対策でツールを導入というと、お金がかかる・・・と考えられることも多いです。
実際、予算があれば、ツールを購入することも検討してほしいです。
ただ、そこまでの予算はないということも多いでしょう。
その場合は、例えば、記憶容量を見るだけでも、よいです。
ログは、通常動作と異常動作で記録する内容が異なることが多いです。
この性質を利用して、ログの増加量だけを見ていく方法もあります。
増加量だけであれば、専門的な技術力も必要ありませんし、調査も短時間で済みます。
その分、異常を検知する精度は落ちますが、何もしないよりはマシです。

増加量だけが見えるようなツールであれば、それほどお金がかからないものもないとは言えません。
このように、予算をかけずに対応する方法も検討してはいかがでしょうか。

次は、最後の「抑止」についてお話をします。

タグ:, ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!