はじめに
本書は、政府情報システムを運用するにあたって、セキュリティ上実施すべきログ分析のうち、サイバー攻撃及び内部不正の検知の実現に向けたポイントを提示するものである。
背景と目的
近年、サイバー攻撃の高度化や内部不正による情報漏えい等の増加に伴い、情報システムを取り巻く環境が複雑になってきている。特に、外国国家の関与が疑われる組織化・洗練化されたサイバー攻撃が顕在化する等、質・量の両面でサイバー攻撃の脅威は増大し、国民生活や経済活動の基盤、ひいては国家及び国民の安全に深刻・致命的な被害を生じさせるおそれが現実のものとなっている。こういった背景から、攻撃を未然に防止するための対策だけでなく、異常を素早く見つけて適切に対処すること、さらにその結果を自組織外の関係者を含め適切に共有し、組織の枠を超えた対策強化につなげることで二次被害を防ぐことの重要性が一層高まっている。
サイバー攻撃や内部不正に対処するためには、情報システムが日々出力するログの活用が欠かせない。ログが存在しない場合、「いつ、誰が、何をしたのか」を調べることができず、異常な状況が発生しても、それが通常の動作と異なるのかを判断することができない。そのため、適切にログを取得、保存・保全し、定期的に点検・分析することが重要となる。
政府情報システムにおいては、「政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)」(以下、統一基準[^1]) 「7.1.4 ログの取得・管理」に従い、システムの特性に応じてログを取得する目的を設定した上で、ログとして取得する情報項目等について定め、適切にログを管理し、定期的に点検・分析することが求められている。しかしながら、政府情報システムにおいては、十分なログが取得されていない、若しくは十分な点検や分析が実施されていないケースも見受けられる。そのため、セキュリティインシデントの発見が遅れ、被害範囲が特定できないことで、インシデント対応が困難となった事例も散見されている。
ログの取得項目や保存・保全方法については、統一基準のほか、諸外国の政府機関や業界団体が公開する文書等において詳細に解説されている。一方で、ログの点検や分析について詳細に解説する文書は数が限られており、かつ、政府情報システムの特性を踏まえ、目的設定から体系的に解説した文書として広く普及しているものはない。こうした状況を踏まえ、本書は目的設定に関する考え方や政府情報システムの運用において求められるログの点検・分析の内容について解説し、これまで十分に言及されてこなかった領域を補完する一助となる文書として位置付けている。
具体的には、代表的な政府情報システムの構成を例示しつつ、システム担当者がシステムに対して適切な脅威分析を行い、それらの脅威に効果的に対処するために必要なログ収集及び点検・分析方法を導出するための考え方を提供する。これにより、既存システムや今後新たに開発されるシステムに対して、ログを点検・分析する上で検討すべきポイントを提示し、ログの点検・分析の重要性に対する理解を促すとともに、適切なログ活用を目指す。そのため、対象とする脅威や分析対象の範囲、分析観点等については、これらのポイントの理解を容易にすることを考慮し、政府情報システムに共通する最低限抑えるべき範囲に絞って解説することとする。
本書は、システム担当者(委託元)及び開発・運用担当者(委託先)の双方が、ログ分析のために必要な検討事項を認識し、適切なコミュニケーションを経た上でログ分析に係る仕様を策定することを促すものである。なお、ログ取得・分析の仕組みは後からの追加が困難であることを踏まえ、調達段階においてログ取得・分析に関する要件を明記し、設計・開発段階でそれを踏まえて必要な仕組みを具体化し、さらに運用段階においてログの取得・分析の役務を継続的に確保することが重要である。これにより、サイバーセキュリティ対策の質的向上を図り、政府情報システムの堅牢性と信頼性の確保に寄与することを期待する。
適用対象
本書は、政府情報システム全般を適用の対象とする。
位置付け
本書は、標準ガイドライン群の Informative(情報提供)のレベルの参考文書である。
本書の構成
本書ではセキュリティのためのログ分析の必要性及び政府情報システムにおけるログ取得・分析の目的と分析観点について解説する。具体的には、2章でログ分析の概要、及び必要性を解説する。続く3章では、ログ取得・分析の目的設定の考え方について解説する。4章では、代表的な政府情報システムの構成を例示しつつ、各構成において要求されるログ分析観点について解説する。最後に、5章でログの取得、保存・保全、点検・分析において一般的に留意が必要な事項について解説する。
用語
本書において使用する用語は、表1-1及び本書に別段の定めがある場合を除くほか、標準ガイドライン群用語集による。その他専門的な用語については、民間の用語定義を参照すること。
表 1-1 用語の定義
| 用語 | 意味 |
|---|---|
| 脅威 | システムまたは組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因 |
| クラウド | データやアプリケーション等のコンピュータ資源(リソース)をネットワーク経由で利用する仕組み |
| セキュリティインシデント | 望まない、または予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの |
| 統一基準 | 「政府機関等のサイバーセキュリティ対策のための統一基準」を指す。本レポート作成時は「令和7年度版」である。 |
| ネットワークフローログ | 仮想的なプライベートクラウド(Virtual Private Cloud)やサブネット内での通信情報(IPアドレス、ポート番号等)を記録したログ |
| ACSC | Australian Cyber Security Centreの略。オーストラリア政府のサイバーセキュリティ機関で、国家のセキュリティ向上を目的に、脅威情報の提供や対策支援を実施 |
| CISA | Cybersecurity and Infrastructure Security Agencyの略。アメリカ政府のサイバーセキュリティと重要インフラの防衛を担う機関で、国家レベルでのサイバー・物理インフラ全般のリスク管理を実施 |
| CSIRT | Computer Security Incident Response Team の略。機関等において発生した情報セキュリティインシデントに対処するため、当該機関等に設置された体制 |
| CSP | Cloud Service Providerの略。クラウドサービスを提供する事業者(AWS、Microsoft等) |
| C2サーバ | Command and Control Serverの略。攻撃者が用いる遠隔操作用の司令塔サーバ |
| DoS | Denial of Serviceの略。標的のサーバやネットワークに対して、大量のデータを送りつけてネットワークの帯域を消費する、またはアプリケーションのバグを突いてシステムに高い負荷をかけることで、サービスを利用不能にすること |
| DDoS | Distributed Denial of Serviceの略。DoSを引き起こす攻撃手法の一種。標的のサーバやネットワークに対して、多数のコンピュータから大量のリクエストを一斉に送りつけ、サービスを利用不能にする攻撃 |
| EDR | Endpoint Detection and Responseの略。エンドポイント(PC、サーバ、モバイル端末等)における脅威の検知・対応を行うセキュリティ製品・技術 |
| GCAS | Government Cloud Assistant Serviceの略。政府方針に基づき、安全かつ合理的な利用環境としてデジタル庁が提供するクラウドサービスであるガバメントクラウドに関する情報提供、問合せ対応等を行うWebサービスのこと |
| JPCERT/CC | JPCERTコーディネーションセンターの略。サイバー攻撃対応を担う日本国内の非営利組織で、インシデント対応や脆弱性情報の調整、国際連携等を実施 |
| SIEM | Security Information and Event Managementの略。複数のIT機器からログを一元的に集約・管理し、リアルタイムでの監視や横断的な分析によって脅威検知、インシデント対応等を支援するシステム |
| WAF | Web Application Firewallの略。Webアプリケーションへの攻撃に特化して検知・対応を行うセキュリティ製品やサービス |