【セキュリティ】ログ分析 #1
ログの役割
ログとは、実行中のトランザクションが行った操作の記録。
ログの目的は「過去・現在・未来のことを知る」ということ。
ログによって次のことが可能となる。
1. 事実の確認
あるプログラムがある処理を行ったか否か
2. 過程の確認
ログを確認することで、そのプログラムがどのような過程を経て最終的な結果が得られたかという、処理の流れを追いかけることができる。
3. 将来起こりうることの予測
機械のログから故障の予兆を検知したり、Webサーバのアクセスログの傾向から将来のアクセス数を予測してサーバを増強したり、といったことが行われている。
標的型攻撃
標的型攻撃とは、特定の企業や組織をターゲットとして、機密情報の窃取やシステム破壊をを目的としたサイバー攻撃のこと。知人や取引先を騙ることで、警戒心を抱かせずにコンピュータウイルスに感染させたり、不正な情報送信を依頼する。
・攻撃に気づくのが、攻撃開始の数ヶ月後になってしまうことがある。
・攻撃の痕跡を一つ一つ辿りながら時間を遡ることで
・情報漏洩がいる発生したのか
・マルウェアがいつ端末にダウンロードされたか
・マルウェアがダウンロードしたWebアクセスはどこに対
するアクセスだったのか
・きっかけとなったメールはいつ・どこから配信されたも
のか
のようなことが分かり、原因究明や犯人特定につながる。
セキュリティに関するログを集め、相関分析を行う専用の機器
複数のログを関連付けながら分析を行う手法に「相関分析」がある。サーバやネットワーク機器のログを収集分析し、不審なアクセスを検知するSIEM(シーム)は不正アクセスの発見や防止に有効。
SIEM 【Security Information and Event Management】
SIEMとは、セキュリティソフトの一つで、様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析するもの。
SIEMは元々は監査に対応するための技術だった。現在ではサイバー攻撃対策としての側面が強くなっている。
ログ分析の重要性
情報技術の発展やセキュリティの面から、ログ分析の重要性はますます高まっている。IoT(Internet of Things)の浸透やAI技術の発展により身の回りのあらゆるところにコンピュータが存在するようになった。また、情報通信技術が社会のインフラとなった現代では、これを悪用したサイバー犯罪が増加している。
サイバー戦争
防衛省と取引のある三菱電機、NEC、神戸製鋼所、航空測量大手パスコなど多くの企業が防衛関連の機密情報を狙ったサイバー攻撃を受けた。今や戦争はサイバー空間にも及んでいる。中国では人民解放軍を中心に10万人を超えるサイバー攻撃態勢が整っている。
一方、自衛隊では平成26年3月に自衛隊指揮通信システム隊に共同の部隊としてサイバー防衛隊を新編して情報通信ネットワークの監視及びサイバー攻撃への対処を24時間態勢で行っている。