情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

9.サーバセキュリティ > 9.5 ログ管理

c2f058cb姉が、旦那が浮気しているか心配、と悩んでます。どういう対策をすればよいでしょうか?GPS携帯で監視するとか、お金をわたさないかかな。携帯はパスワードがかかっているし。
以前の携帯ならパソコンと接続してフリーソフトで暗証番号を簡単に解読できましたが、最近はダメです。


企業でも同じ心配がある。大事な顧客情報や企業情報は限られた社員に限定している。なおかつ教育をして高い意識を持たせているが、本当に漏えいしていないかは管理しようがない。「お天道様(おてんとさま)が見ているから」とセルフコントロールしてくれればいいのだが。
それと、嫌がられるが、きちんとログをとればかなり防げる。各種システムへのログイン、ログアウト、どのファイルにアクセスしたかのログをとり、きちんと分析する。そしてあやしいときは本人に確認する営みが大事である。
929c854c

なるほど。携帯のチェックや財布のチェック、帰宅時刻のチェック、場合によっては会社の同僚からの状況報告などね。嫌がられそう。



セキュリティは嫌がられるものなので、しかたがない。それと、加えてログを取得しているという事実を周知すること、分析結果を公開すること、違反した場合には罰則を設けることも大事。

 データベースの監査ログを取得する目的は何か?(H20SV 午前問題 問35より)」 
ログの取得に関しては、データベースに特化したことではない。ログデータは、誰が、いつ、何にアクセスしたかを、成功/失敗を含めて記録するのだ。
過去問(H20SV 午前問題 問35より)では、データベースの監査ログを取得する目的として、「問題のあるデータ操作を事後に調査する」と述べられている。

もう一問見てみよう。
ログの取得は,利用者認証のような[ a ]のための対策にはなりませんが,いつ,どのような事象が発生したかを記録しておくことは,[ b ]のための対策として重要だと思います。

設問 [ a ][ b ]にあてはまる字句を答えよ (H20秋SU午後Ⅱ問1より)
929c854c 
これ、難しいですね。
でも、意味は分かります。ログは、直接的に防御するようなものではなく、記録をして後から追跡できるためのもの。防犯カメラと同じですよね。防犯カメラが万引き犯を防御できなくても、後から警察にて捕まえるための記録になります。
そう。具体的なログとしては、Linuxサーバのログであれば、システムログである/var/log/messagesや、接続および認証のログなどを含むセキュリティログの/var/log/secure。Apacheによるwebサーバであればaccess_log に記載される。

この問題は、実際には選択式
aは予防
bは検知

ログに関するセキュリティ要件は、過去問(H20SU 午後Ⅱ問1)にてまとめられている。「具体的な機能や方法」について、ご自身で考えて欲しい。

ログ管理に関するセキュリティ要件

具体的な機能や方法

ログを収めるサーバのハードディスク容量を使い切ってしまい、ログが書き出せなくなることを防ぐための機能を設ける。

ログを収めたファイルの改ざんや消去を防ぐための機能を設ける。

取得したログの点検・分析を支援するための機能を設ける。(ログの見える化による不正行為検出率の向上などが期待できる)

利用者がシステムに不正行為を働くことを抑止する。

過去問(H20SU 午後Ⅱ問1)の内容は以下である。

ログ管理に関するセキュリティ
要件

具体的な機能や方法


ログを収めるサーバのハードディスク容量を使い切ってしまい、ログが書き出せなくなることを防ぐための機能を設ける。



 

・日々のデータ量と将来の予想データ量、それと保存期間を考慮してハードディスク容量を計算する。

・使用量を常時監視し、所要量に達したら自動的に外部記憶媒体に退避する。


ログを収めたファイルの改ざんや消去を防ぐための機能を設ける。

・要塞化した専用のログサーバを設置し、ログを集約する。

・接続可能なポートを制限したログサーバにログを集約する。


取得したログの点検・分析を支援するための機能を設ける。(ログの見える化による不正行為検出率の向上などが期待できる)

・ログ解析ソフトを活用する。

 

利用者がシステムに不正行為を働くことを抑止する。

システムの利用者に対して、システム上でログを取得し、点検・分析することを周知する。

(H20SU 午後Ⅱ問1「図3 ログ管理に関するセキュリティ要件、設問4」を引用・一部修正)

ログ管理に関しては、過去問(H24SC秋午後Ⅰ問2)に良問がある。一度解いてみてほしい。
その中で、Bシステムで取得しているログが表にまとめられている。まあ、一例としてみてもらえばいいだろう。

表1 取得しているログ 
ログを取得するイベント取得する情報
ログイン成功 日付,時刻,機能番号(0001),端末ID,利用者ID,成功(1)
ログイン失敗日付,時刻,機能番号(0001),端末ID,ログインしようとした利用者ID,失敗(0)
ログアウト付,時刻,機能番号(0099),端末ID,利用者ID
ログインとログアウト以外の機能の利用成功日付,時刻,機能番号(1000~9999),端末ID,利用者ID,成功(1)
ログインとログアウト以外の機能の利用失敗日付,時刻,機能番号(1000~9999),端末ID,利用者ID,失敗(0)

この問題では、是非とも理解してほしい設問があった。その部分を抜粋する。
〔モニタリングの実施〕
Bシステムのモニタリング手順をまとめてから2週間後にツールが完成し,ツールによるモニタリングを開始した。D部長は、③モニタリングの実施を社内に通知するよう指示した。ただし,④モニタリング条件はセキュリティ上の懸念から開示しないよう指示した。

設問2 〔モニタリングの実施〕について,(1)~(4)に答えよ。
(1)本文中の下線③について,どのような効果があると考えられるか。20字以内で述べよ。
(2)本文中の下線④について,モニタリング条件の開示によるセキュリティ上の懸念とは何か。40字以内で述べよ。

試験センターの解答例は以下である。
設問2
 (1) 悪意ある行動を抑止する効果
 (2) モニタリング条件を回避するようにして悪意ある行動をとられること

問36 機密データの漏えいを検知することを目的とした対策はどれか。
ア 機密データにアクセスできる利用者を限定し、パスワード管理を徹底させる。
イ 機密データに対する利用者のアクセスログを取り、定期的にチェックする。
ウ 機密データの取扱マニュアルを作成し、利用者に対して教育を行う。
エ 機密データのバックアップを取得し、その媒体を安全性の高い場所に保管する。
(H19初級シスアド秋 午前)

この問題も、単に答えるだけでなく、セキュリティ対策の内容を理解することを目的として全ての選択肢を理解しましょう。
例えば、アによってどんな効果があるか。情報漏えいを防ぐ効果があります。
ウも同様です。
ちなみに正解はイです。
エは、機密データの漏えいを防ぐのではなく、バックアップすることで、破損や盗難などに備える目的です。


このページのトップヘ