ログの取得と説明責任
攻撃にいち早く気づき、被害状況や影響範囲の調査などの事後対応を効果的に行うためには、ログの取得と保管が重要になります。情報システム内で何が起こっていたかを後から追跡調査を行い、事故の原因究明や、対策を導き出すことにつながります。
Point① ログを取得する
ログの具体的な例としては次のものが挙げられます。
| 通信ログ | 取得ポイント | ログの種類 |
|---|---|---|
| ファイアウォールを通過または拒否された通信ログ | ファイアウォール | 通信 |
| IDSやIPSが監視した通信のログ | IDS・IPS | 通信 |
| DHCPサーバがパソコンにIPアドレスを割り当てたログ | DHCPサーバ | システム |
| ファイルサーバへのアクセスのログ | ファイルサーバ | アクセス |
| ファイルの参照や、編集などの成功や失敗のログ | ファイルサーバ | システム |
| 情報システムへのログイン、ログアウトなど認証のログ | 情報システム | システム |
| Webサーバへのアクセスのログ | Webサーバ | アクセス |
| Webプロキシサーバが中継した通信のログ | Webプロキシサーバ | 通信 |
| パソコンの監査のログ | パソコン | システム |
ログには、誰と誰がいつどのような内容の通信を行ったか、という情報が記録されています。また、企業秘密に関する情報や、電子メールの内容、利用者が入力した個人情報などがそのまま含まれている場合もあります。ログは機密情報であるということを理解し、取り扱いには十分な注意が必要です。
出典:総務省
「ログの適切な取得と保管」をもとに作成
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_admin_22.html
ログ保存期間に注意
ログ保存期間が短いと調査可能期間も短くなります。数ヶ月程度は保存されている状態にしましょう。
ログの保存先に注意
ログは取得機器ではなく、別サーバに保存することで、対象機器に不正アクセスがあった際に、証拠隠滅をされる可能性が下がります。
ログの操作に注意
ログの消去等が誰でもできてしまうと、不正アクセスの際に証拠が隠滅されてしまう可能性があります。アカウント権限に注意しましょう。
Point② 説明責任を果たす
説明責任とは、「担当や権限を持つことに対して、詳細な説明を行うこと」です。セキュリティ担当者の場合は経営層に自社のセキュリティ状態を説明するようなケースが想定されます。また、セキュリティ責任者の場合には、セキュリティ事故発生時など、経緯や被害内容・再発防止対策などを顧客や関係者に知らせる説明責任があります。
正しく説明責任を果たすためには普段からログを取得し、システムの記録を残しておく必要があります。経緯を把握するためには、どこからウイルスが侵入したのか?(メールの記録やFWの通信ログなど)、ウイルス実行によりシステム上でどのような動作があったのか?(パソコンのシステムログなど)、どのデータにアクセスされたのか?(データのアクセス操作ログなど)といったことを知る必要があります。それぞれの記録としてログを取っておくことで、セキュリティ事故などの時に報告書に正しく記載でき、関係者が納得する説明をすることができます。