6.3 セキュリティ監視フレームワーク
6.3.1 セキュリティ監視エージェント
(1) ログ取得機能 ログ取得機能 ログ取得機能 ログ取得機能
(i) 機能説明 機能説明 機能説明 機能説明
データサーバ・イベントログを受け取り、これを「ログ管理機能」へ送る機能
オペコン・イベントログを受け取り、これを「ログ管理機能」へ送る機能
プロコン・イベントログを受け取り、これを「ログ管理機能」へ送る機能
Webサーバ・イベントログを受け取り、これを「ログ管理機能」へ送る機能
エンコン・イベントログを受け取り、これを「ログ管理機能」へ送る機能
プロコン保守用コンソール・イベントログを受け取り、これを「ログ管理機能」へ 送る機能
制御系保護専用ファイアウォール・イベントログを受け取り、これを「ログ管理機 能」へ送る機能
認証フレームワーク・イベントログを受け取り、これを「ログ管理機能」へ送る機 能
秘匿通信フレームワーク・イベントログを受け取り、これを「ログ管理機能」へ送 る機能
パケットモニタからのパケットログを受け取り、これを「ログ管理機能」へ送る機 能
(ii) 入力データ 入力データ 入力データ 入力データ
データサーバ・イベントログ
Windows NT Server 4.0(以下、Windows NT Server)にて、次の2種類のログに イベントを記録する。
① システムログ
Windows NT Serverのシステムコンポーネントがログに記録したイベントが含 まれる。
② セキュリティログ
ファイルやその他のオブジェクトの作成、オープン、削除などリソースの使用 に関連するイベントのほかに、有効なログインと無効なログインの記録も含ま れる。
システムログは、データサーバにアクセスするすべてのユーザが参照できるが、セ キュリティログにアクセスできるのはシステム管理者のみとする。
143 143143 143
イベントログはヘッダ、イベント種類毎の記述で構成される。ヘッダ情報は以下の とおりである。
表51 データサーバ・イベントログ(Windows NT Serverの場合)
項目 内容
日付 イベントが発生した日付 時刻 イベントが発生した時刻
ユーザ イベントが発生したユーザのユーザ名 コンピュータ イベントが発生したコンピュータの名前 イベントID 特定のイベントの種類を識別する番号
ソース イベントをログに記録したシステムコンポーネントの名前 種類 イベントの重大度の分類。システムログの場合はエラー、
情報、警告など。セキュリティログの場合は成功の監査ま たは失敗の監査に分類。
分類 イベントソースによるイベントの分類。この情報は主にセ キュリティログで使用される。
UNIX(syslogd デーモン)において、ログ出力項目はイベントをログに記録したシ ステムコンポーネントに依存する。
ログの共通出力項目としては、以下のとおり。
表52 データサーバ・イベントログ(UNIXの場合)
項目 内容
日付 イベントが発生した日付 時刻 イベントが発生した時刻
ユーザ イベントが発生したユーザのユーザ名 コンピュータ イベントが発生したコンピュータの名前
PID プロセスID
144 144144 144
ログをチェックすルータめには,システムコンポーネントから出力されるエラー・
メッセージをキーワードにしてログを抽出する。
以下に,ログ・チェックの際のキーワード例をまとめる。
表53 ログ・チェックのキーワード例
キーワード 内容
warning err abort
エラー全般
定義ファイルのミスなど timeout
timed out ネットワークの通信異常
サーバの高負荷状態など refused
reject
not permitted denied
アクセス制御の設定ミス 何らかの不正アクセスなど fail
incorrect invalid
パラメータの設定ミス 不正なパスワード入力など /phf
/php/test-cgi
CGIの不正利用
null connection
eof received ポート・スキャンなど
authentication failed repeated login failures login incorrect
辞書アタックなど
passwd パスワード・ファイルへの不正アクセス
プロコン、エンコン、Webサーバに関しても、Windows NT Server およびUNIX
(syslogdデーモン)のそれぞれの場合のログ出力は同様となる。
オペコン・イベントログ
上述「データサーバ・イベントログ」と同様
プロコン・イベントログ
上述「データサーバ・イベントログ」と同様
145 145145 145
Webサーバ・ログ
Webサーバのイベントログに関しては、上述「データサーバ」と同様
なお、IIS や NES 等の Web サーバ・デーモンが出力するログに関しては、以下の とおりとなる。
表54 Webサーバ・デーモンのログ
項目 内容
日付 イベントが発生した日付 時刻 イベントが発生した時刻
ホスト アクセスを要求するクライアントのホスト名(DNS が無 効にされている場合はIPアドレス)
認証ユーザ名 認証を要した場合の認証ユーザ名 要求全説明 クライアントが行った正確な要求説明
ステータス サーバがクライアントに戻したステータスコード
コンテンツ長 クライアントに送信されたドキュメントのバイトでのコン テンツ長
HTTPヘッダ ① クライアントが現ページをアクセスしたときにどのペ ージから来たかを指定
② クライアントが使用するブラウザのタイプ、そのバー ジョン、それを実行する OS を含むユーザエージェン ト情報
メソッド 使用される要求メソッド
URI Universal Resource Identifier。サーバ上のリソースの場 所
プロトコル 使用されるトランスポートプロトコルおよびバージョン
エンコン・イベントログ
上述「データサーバ・イベントログ」と同様
プロコン保守用コンソール・イベントログ 上述「データサーバ・イベントログ」と同様
146 146146 146
制御系保護専用ファイアウォール・イベントログ
表55 制御系保護専用ファイアウォール・イベントログ
項目 内容
ログ項目番号 ファイアウォールが割当てる連続番号 日付 イベントが発生した日付
時刻 イベントが発生した時刻
インターフェース 記録されたイベントが発生したハードウェア・インタフ ェース
イベントホスト 記録されたイベントの原因となったルールを実施してい るホスト名
サービス この通信が要求したサービス(宛先ポート)
Source 通信の発信元IPアドレス
Destination 通信の宛先IPアドレス プロトコル 使用された通信プロトコル
ルール ファイアウォールを通過するパケットに適用されたベー スのルール番号
ポート 発信元ポート
接続時間 ログが更新されるまでの接続時間 バイト 転送されるパケットのバイト数
拒否通知 パケットフィルタリング機能により、情報系 LAN と制 御系情報 LAN 間の通過をブロックされた不正パケット 検知の記録
アクセス状況 制御系機器および情報系機器の相互の代行アクセス状況
認証フレームワーク・イベントログ
表56 機器認証ログ
項目 内容
日付 イベントが発生した日付 時刻 イベントが発生した時刻
認証要求機器名 リモート機器へアクセスを要求する機器が、正当な機器か らの要求であることの確認の記録
機器認証結果 機器認証の失敗/成功の結果を記録する 失敗事由 機器認証失敗の場合の原因を記録する
147 147147 147
表57 利用者認証ログ
項目 内容
日付 イベントが発生した日付 時刻 イベントが発生した時刻
利用者名 機器を操作する利用者がフレームワークにおいて正規の利 用者であることの確認の記録
利用者認証結果 利用者認証の失敗/成功の結果を記録する 失敗事由 利用者認証失敗の場合の原因を記録する
秘匿通信フレームワーク・イベントログ
表58 秘匿通信フレームワーク・イベントログ
項目 内容
日付 イベントが発生した日付 時刻 イベントが発生した時刻
Source 通信の発信元IPアドレス
Destination 通信の宛先IPアドレス
データ認証 送受信データが、通信経路において改ざんされていない ことを証明すルータめの検証記録
パケット監視 アプリケーションとネットワークカード間のネットワー ク経路上を流れるパケットデータの改ざん検知の記録
パケットログ
制御LANおよび制御系情報LAN上を流れるパケットのログを記録する 表59 制御LANおよび制御系情報LAN上を流れるパケットログ
項目 内容
日付 イベントが発生した日付 時刻 イベントが発生した時刻
Source 通信の発信元IPアドレス
Destination 通信の宛先IPアドレス
(iii) 出力データ 出力データ 出力データ 出力データ
上述「6.3.1(1)(ii)入力データ」に同じ
148 148148 148
(2) ログ管理機能 ログ管理機能 ログ管理機能 ログ管理機能
(i) 機能説明 機能説明 機能説明 機能説明
「ログ取得機能」からデータサーバ・イベントログを受け取り、これを保管し、「ロ グ分析機能」へ送る機能
「ログ取得機能」からオペコン・イベントログを受け取り、これを保管し、「ログ分 析機能」へ送る機能
「ログ取得機能」からプロコン・イベントログを受け取り、これを保管し、「ログ分 析機能」へ送る機能
「ログ取得機能」から Web サーバ・イベントログを受け取り、これを保管し、「ロ グ分析機能」へ送る機能
「ログ取得機能」からエンコン・イベントログを受け取り、これを保管し、「ログ分 析機能」へ送る機能
「ログ取得機能」からプロコン保守用コンソール・イベントログを受け取り、これ を保管し、「ログ分析機能」へ送る機能
「ログ取得機能」から制御系保護専用ファイアウォール・イベントログを受け取り、
これを保管し、「ログ分析機能」へ送る機能
「ログ取得機能」から認証フレームワーク・イベントログを受け取り、これを保管 し、「ログ分析機能」へ送る機能
「ログ取得機能」から秘匿通信フレームワーク・イベントログを受け取り、これを 保管し、「ログ分析機能」へ送る機能
「ログ取得機能」からパケットログを受け取り、これを保管し、「ログ分析機能」へ 送る機能
(ii) 入力データ 入力データ 入力データ 入力データ
上述「6.3.1(1)(iii)出力データ」に同じ
(iii) 出力データ 出力データ 出力データ 出力データ
上述「6.3.1(1)(iii)出力データ」に同じ