セキュリティ対策におけるログ分析の概要
ログ分析の概要
ログとは、システム、アプリケーション、ネットワーク機器等が、その稼働状況や発生した事象を記録したデータを指す。具体的には、システムへのログイン要求に関する情報(認証情報、接続元IP等)を記録した認証ログや、サーバへのアクセス要求に関する情報(アクセス日時、アクセス先のパス等)を記録したHTTPアクセスログ、ユーザの操作やシステム内で発生した事象に関する情報(実行日時、イベントID等)を記録した監査ログ、ネットワーク上の通信に関する情報(通信発生日時、送信元IPアドレス等)を記録したネットワークフローログ等が挙げられる。これらは、情報システムの運用やセキュリティ対策を進める上で不可欠な情報であるが、機器やソフトウェアごとにログレベル等を正しく設定しないとログが取得されない場合も多い。また、ログの分類や保存方法についてもログサーバ等で適切に設定し、後述するログ分析で必要となる情報がいずれかのログに記録されていることをあらかじめ点検しておくことが必要である。
ログ分析は、当該記録を体系的に取得、保存・保全し、検索、可視化等の手法を通じて異常や潜在的なリスクを把握するためのプロセスである。この分析は、不正アクセスや攻撃行為の検知・追跡時における主要な手段として活用されることに加え、セキュリティインシデント発生時の原因究明や迅速な復旧に寄与する。加えて、日常的な利用状況の把握や稼働状態の健全性確認、法令や規程に基づく監査への対応といった目的にも広く活用される。
ログ分析の実施方法としては、専用のソリューションを用いて自動化された分析と、運用担当者やログアナリストが行う手動分析が存在する。例えば、自動化された分析では、SIEM等のツールを活用し、大量のログデータから既知の脅威パターンや異常な振る舞いを機械的に早期に検出する。一方、手動分析では、人間の専門知識と経験に基づき、文脈を踏まえた深度ある調査や、未知の脅威に対する探索的な分析を行う。これらは相互に補完関係にあり、一般的には可能な限り自動化を進めつつ、自動化の限界によって生じる分析の空隙を手動により補完することが推奨される。
ログ分析の重要性
情報システムにおいて、ログ分析は、セキュリティ対策上極めて重要な役割を担う。具体的には、適切に取得したログのリアルタイム分析を行うことで、異常を早期に検知し、被害の拡大を防止することが可能となる。また、保存・保全したログは、サイバー攻撃やセキュリティインシデントが発生した際に証跡として機能し、発生事象の追跡や原因究明に有用である。昨今のサイバー攻撃の高度化に対応し、迅速に対処するためには、ログ分析は単なる記録の保管にとどまらず、能動的なセキュリティ統制手段として位置づける必要がある。
特に、政府情報システムにおいては、不正アクセスによる個人情報や要機密情報の窃取・改ざん、ランサムウェアによる機密ファイルの暗号化やDoS攻撃による行政サービスの停止、職員や関係者の不正行為による要機密情報の持ち出しといった多様な脅威が想定され、これらの脅威が現実の事象として顕在化した場合、政府機関の経済的損失や安全保障上のリスクが高まるとともに、国民からの信頼を著しく損なう事態を招くこととなる。
これらの脅威を完全に予防することは困難であることから、多層防御の観点からも、ログ分析を通じた発見的統制は必要不可欠である。ログを活用した継続的な監視・分析により、脅威の早期検出と迅速な対応を可能とし、政府情報システムの信頼性及び安全性を確保することが求められる。
ログ分析の進め方の全体像
ログ分析を効果的に行うためには、体系的なアプローチに基づいて段階的に進めることが重要である。本節では、ログ分析の進め方について、その全体像を解説する。
ログ分析の進め方は、大きく以下の流れで構成される。
表 2-1 ログ取得・分析の進め方の全体像(本書の主なスコープ: )
これらの各ステップは相互に関連しており、前段階で設定した要件や方針が後続の活動に影響を与える。したがって、初期段階での目的設定と要件策定が、その後のログ分析活動全体の品質と有効性を左右することになる。
本書では、この一連のプロセスのうち、特に「ログ取得・分析の目的設定」のステップに焦点を置いて詳述する。ログ取得・分析の目的設定は、ログ分析活動の出発点であり、組織のセキュリティ要求事項や業務上の課題を踏まえて適切に行われなければならない。目的が明確でない場合、過剰または不足したログ取得、非効率な分析体制の構築といった問題が生じる可能性があるため、このステップの重要性は極めて高い。また、「ログ取得・分析の目的設定」以降のステップについても、最低限押さえるべき情報として、ログの取得項目の例や実装に際しての留意事項について提示する。
なお、この一連のプロセスは自組織だけでなく、CSPや運用委託先等、複数の主体が関与する形で実施されることが多い。このため、各ステップにおける役割や責任分界点をあらかじめ意識し、体制や契約の中で整理しておくことが重要である。本書では詳細な責任分界の定義までは扱わないが、実効性のあるログ分析を行うための前提として、この点を十分に考慮する必要がある。