情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を引用しながら、試験に出る基礎知識を体系的かつ詳細に整理します。

ログ管理

1.ログ取得の必要性

(1)浮気のセキュリティ

c2f058cb
姉が、旦那が浮気しているか心配、と悩んでます。
どういう対策をすればよいでしょうか?
GPS携帯で監視するとか、お金をわたさないかかな。携帯はパスワードがかかっているし。

以前の携帯ならパソコンと接続してフリーソフトで暗証番号を簡単に解読できましたが、最近はダメです。

企業でも同じ心配がある。大事な顧客情報や企業情報は限られた社員に限定している。なおかつ教育をして高い意識を持たせているが、本当に漏えいしていないかは管理しようがない。「お天道様(おてんとさま)が見ているから」とセルフコントロールしてくれればいいのだが。
それと、嫌がられるが、きちんとログをとればかなり防げる。各種システムへのログイン、ログアウト、どのファイルにアクセスしたかのログをとり、きちんと分析する。そしてあやしいときは本人に確認する営みが大事である。
929c854c


なるほど。携帯のチェックや財布のチェック、帰宅時刻のチェック、場合によっては会社の同僚からの状況報告などね。嫌がられそう。

セキュリティは嫌がられるものなので、しかたがない。それと、加えてログを取得しているという事実を周知すること、分析結果を公開すること、違反した場合には罰則を設けることも大事。

(2)ログの目的

ログデータは、誰が、いつ、何にアクセスしたかを、成功/失敗を含めて記録するのだ。過去問(H20SV 午前問題 問35より)では、データベースの監査ログを取得する目的として、「問題のあるデータ操作を事後に調査する」と述べられている。
もう一問見てみよう。

過去問(H20秋SU午後Ⅱ問1より)
ログの取得は,利用者認証のような[ a ]のための対策にはなりませんが,いつ,どのような事象が発生したかを記録しておくことは,[ b ]のための対策として重要だと思います。

設問 [ a ][ b ]にあてはまる字句を答えよ

929c854c
これ、難しいですね。
でも、意味は分かります。ログは、直接的に防御するようなものではなく、記録をして後から追跡できるためのもの。防犯カメラと同じですよね。防犯カメラが万引き犯を防御できなくても、後から警察にて捕まえるための記録になります。

そう。具体的なログとしては、Linuxサーバのログであれば、システムログである/var/log/messagesや、接続および認証のログなどを含むセキュリティログの/var/log/secure。Apacheによるwebサーバであればaccess_log に記載される。





この問題は、実際には選択式
aは予防
bは検知

■別の過去問

過去問(H19初級シスアド秋 午前)
問36 機密データの漏えいを検知することを目的とした対策はどれか。
ア 機密データにアクセスできる利用者を限定し、パスワード管理を徹底させる。
イ 機密データに対する利用者のアクセスログを取り、定期的にチェックする。
ウ 機密データの取扱マニュアルを作成し、利用者に対して教育を行う。
エ 機密データのバックアップを取得し、その媒体を安全性の高い場所に保管する。






この問題も、単に答えるだけでなく、セキュリティ対策の内容を理解することを目的として全ての選択肢を理解しましょう。
例えば、アによってどんな効果があるか。情報漏えいを防ぐ効果があります。
ウも同様です。
ちなみに正解はイです。
エは、機密データの漏えいを防ぐのではなく、バックアップすることで、破損や盗難などに備える目的です。

2.ログのセキュリティ

ログに関するセキュリティ要件は、過去問(H20SU 午後Ⅱ問1)にてまとめられている。「具体的な機能や方法」について、ご自身で考えて欲しい。

ログ管理に関するセキュリティ要件 具体的な機能や方法        
ログを収めるサーバのハードディスク容量を使い切ってしまい、ログが書き出せなくなることを防ぐための機能を設ける。  
ログを収めたファイルの改ざんや消去を防ぐための機能を設ける。  
取得したログの点検・分析を支援するための機能を設ける。(ログの見える化による不正行為検出率の向上などが期待できる)  
利用者がシステムに不正行為を働くことを抑止する。  

過去問(H20SU 午後Ⅱ問1)の内容は以下である。

ログ管理に関するセキュリティ要件 具体的な機能や方法
ログを収めるサーバのハードディスク容量を使い切ってしまい、ログが書き出せなくなることを防ぐための機能を設ける。 ・日々のデータ量と将来の予想データ量、それと保存期間を考慮してハードディスク容量を計算する。
・使用量を常時監視し、所要量に達したら自動的に外部記憶媒体に退避する。
ログを収めたファイルの改ざんや消去を防ぐための機能を設ける。 ・要塞化した専用のログサーバを設置し、ログを集約する。
・接続可能なポートを制限したログサーバにログを集約する。
取得したログの点検・分析を支援するための機能を設ける。(ログの見える化による不正行為検出率の向上などが期待できる) ・ログ解析ソフトを活用する。
利用者がシステムに不正行為を働くことを抑止する。 システムの利用者に対して、システム上でログを取得し、点検・分析することを周知する。

(H20SU午後Ⅱ問1「図3 ログ管理に関するセキュリティ要件、設問4」を引用・一部修正)

3.どんなログを取るべきか

■1.システムで取得するログ
ログ管理に関しては、情報処理安全確保支援士試験の過去問(H24SC秋午後Ⅰ問2)に良問がある。一度解いてみてほしい。
その中で、Bシステムで取得しているログが表にまとめられている。まあ、一例としてみてもらえばいいだろう。

表1 取得しているログ

ログを取得するイベント 取得する情報
ログイン成功 日付,時刻,機能番号(0001),端末ID,利用者ID,成功(1)
ログイン失敗 日付,時刻,機能番号(0001),端末ID,ログインしようとした利用者ID,失敗(0)
ログアウト 日付,時刻,機能番号(0099),端末ID,利用者ID
ログインとログアウト以外の機能の利用成功 日付,時刻,機能番号(1000~9999),端末ID,利用者ID,成功(1)
ログインとログアウト以外の機能の利用失敗 日付,時刻,機能番号(1000~9999),端末ID,利用者ID,失敗(0)

この問題では、是非とも理解してほしい設問があった。その部分を抜粋する。

過去問(H24SC秋午後Ⅰ問2抜粋)
〔モニタリングの実施〕
Bシステムのモニタリング手順をまとめてから2週間後にツールが完成し,ツールによるモニタリングを開始した。D部長は、③モニタリングの実施を社内に通知するよう指示した。ただし,④モニタリング条件はセキュリティ上の懸念から開示しないよう指示した。

設問2 〔モニタリングの実施〕について,(1)~(4)に答えよ。
(1)本文中の下線③について,どのような効果があると考えられるか。20字以内で述べよ。
(2)本文中の下線④について,モニタリング条件の開示によるセキュリティ上の懸念とは何か。40字以内で述べよ。






試験センターの解答例は以下である。
設問2
 (1)悪意ある行動を抑止する効果
 (2)モニタリング条件を回避するようにして悪意ある行動をとられること

■2.インターネット接続で取得するログ
インターネットに接続するログとしては、FWのログと、Proxyサーバのログを取ることが大事です。特にProxyサーバには、いつ,どのIPアドレスの端末が,どのサイトにアクセスしたかの記録が残ります。マルウェア感染にて不正サイトへ通信した際などの解析にも役立ちます。
Webサーバで取得できるアクセスログと同じと考えてください。
実際のログのイメージをつかんでもらうために,過去問(H30SC秋午後Ⅱ問2)の問題文にあるログを引用します。※利用者IDを追加しています。

ログ引用(H30SC秋午後Ⅱ問2)
4:[04/Sep/2018:14:31:15+0900] "GET http://yyyy/dl/samplebun.zip HTTP/1.1" 200 89331 "http://zzzz/2018/ne/bunrei.html" "▲▲"
27:[08/Sep/2018:03:39:04+0900] "GET http://IPn/login/pro.php user1 HTTP/1.1" 200 563 "-" "▽▽"
28:[08/Sep/2018:03:39:04+0900] "POST http://IPn/admin/g.php user1 HTTP/1.1" 200 35618 "-" "▽▽"

   ↑日時            ↑メソッド ↑アクセス先のURL  ↑利用者ID

 ここにありますように,Proxyのログには,通信日時以外に,アクセス先URLや利用者ID(認証した場合)などが記載されます。では、4行目の内容をもとに詳しく解説します。

4:[04/Sep/2018:14:31:15+0900] "GET http://yyyy/dl/samplebun.zip

        ❶       ❷       ❸
HTTP/1.1" 200 89331 "http://zzzz/2018/ne/bunrei.html""▲▲"
  ❹  ❺  ❻       ❼          ❽

このログの説明は,問題文の注記2に記載がありますが,補足解説をします。
❶日時:+0900は,世界の標準時刻GMT(実際にはUTC)と9時間のズレがあることを意味します。※GMT(Greenwich Mean Time)は,グリニッジ標準時,UTC(Coordinated universal time)は協定世界時。どちらも同じと考えてください。
❷リクエストのメソッド:正確に説明すると長くなりますが,ここでは単純な理解として,GETメソッドはデータを取得,POSTはデータを送信と考えてください。
❸リクエストのURL:接続するURLです。
❹リクエストのプロトコルとバージョン:HTTP/1.1はHTTPのバージョンです。HTTP2.0もありますが,最も普及しているのはバージョン1.1です。
❺要求元PCに送信したレスポンスのHTTPステータスコード:HTTPのステータスコードで,200は通信が成功したことを意味します。 →なので、1行のログで、HTTPリクエストとレスポンスの2つのログを表示していることになります。
❻要求元PCに送信したレスポンスメッセージのサイズ:PCに送信した(=PCが受信した)データのバイト数です。今回の通信は89331バイトであることがわかります。
❼リクエストのRefererヘッダの値:どのページから来たのかというリファラ(=アクセス元のURL)が記載されます。直接アクセスした場合は,-の表記がされます。
❽リクエストのUser-Agentヘッダの値:ユーザエージェントで,PCのOSやブラウザの情報が記載されます。多くの場合、PCによってに異なる情報です。
User-Agentに関しては、情報処理安全確保支援士の試験でも何度か問われているので、理解しておこう。以下も参照。
HTTP(HyperText Transfer Protocol)2.httpのリクエストとレスポンス(5)User-Agent - ネットワークスペシャリスト - SE娘の剣 -

■参考情報
総務省の「ログの適切な取得と保管」には、具体的に取得すべきログの種類と内容として、以下の記載があります。
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/admin/22.html

ログ保存期間の目安に関しては、IPAの資料に法令・ガイドライン等が記載があります。政府機関は1年以上保存とあり、一つの目安になるでしょう。
https://warp.ndl.go.jp/info:ndljp/pid/10201926/www.ipa.go.jp/files/000052999.pdf