ログに関する要件

49

Windows ファイアウォールの設定は、「パブリック」「ドメイン」「ホームネットワー

ク」のそれぞれのプロファイル単位で設定が可能である。ネットワークプロファイルを考 慮して、必要なプロファイルを選択して設定する。図 4.2-7のように、ログファイルの保 存先やサイズ制限を設定することができる。ログ取得例を図 4.2-8に示す。

図 4.2-8 Windows ファイアウォールログの例

注意点は、ここでの記録はすべてIPアドレスで記録されるため、送信先のFQDNが記 録されないことである。

50

表 4.2-2 ログ取得に関する要件

要件 理由

許可したログが記録できること 例えば外部通信を調査する場合、正規の通信として「許可したロ グ」が調査の対象となる。プロキシサーバやFirewallでは「拒 否したログ」だけでは調査の意味が半減する。よって、これらの

「取得すべきログ」では許可したログを取得する必要がある。ま た、メールサーバをクラウドサービスで構築している等のケース では、サービス内容によっては、オンプレミス¹⁴とは異なるログ となる事もあるため、どのようなログが取得可能かを確認してお く必要がある。

十分な期間保持できること １年以上¹⁵の保持が推奨される。

許可したログを取得すると、取得されるログ容量が飛躍的に増大 するため、ディスクの使用領域の圧迫に注意が必要になる。これ らは、パフォーマンスに影響する可能性もある。

時刻同期されていること ログ間で時刻がずれていると、突合せが困難になる場合がある。

組織内でNTPサーバの稼動が望ましい。

PCが特定できること ログ内にあるPCを特定する必要がある。PCに付与されるIPア ドレスがDHCPの場合は、日付、時間でどのPCにIPをリース したかをDHCPサーバのログと突合し特定することができなけ ればならない。

それぞれのサーバのログ取得については、個々の導入時に設計されていると思われる が、標的型攻撃の調査という観点では、組織全体でのログ取得状況がより重要となる。

ログの取り扱いに関する要件

取得したログに対して「ログの取り扱いに関する要件」を表 4.2-3に示す。

14 サーバを使用者が管理する設備内に構築すること。自社運用ともいう。

15 NISC発行「平成23年度政府機関における情報システムのログ取得・管理のあり方の

検討に関わる調査報告書」より引用。URL

http://www.nisc.go.jp/inquiry/pdf/log_shutoku.pdf

51

表 4.2-3 ログの取り扱いに関する要件

要件 理由

ログ確認手順が確立されている こと

調査を始めると「確認の仕方がわからない」「ベンダーに依頼し ないと調べられない」というケースが散見される。ログは取れて いても、その確認手順が確立されていなければ、タイムリーな調 査ができない。

各ログのフォーマットを把握し ていること

ログはアプリケーションやメーカーによって異なる。出力される 項目の把握が必要。特に突合せする場合には、共通の条件となる 日付の出力形式の把握が重要である。日付形式はアプリケーショ ンによって、特に異なる項目でもある。

様々な条件で検索できること 日時、送信先アドレス、送信元アドレス、等の条件で検索や抽出 ができることが必要。アプリケーションによって、ログ検索が可 能な管理ツールが付属しているケースもある。

CSV等の形式で外部出力ができ ること

ログ検索が可能な管理ツールがない場合やデータを加工して調査 したい場合は、ログを外部出力すれば、外部ツールで調査でき る。例えば、CSV形式で出力できれば、EXCEL等で加工するこ とができる。

外部出力したデータを扱えるこ と

外部出力した場合、そのデータから抽出・検索をする必要があ る。大きなデータ、抽出する手法、ツールはある程度慣れておく 必要がある。

これらの要件は、自組織内で調査する場合だけでなく、外部組織への委託をする場合で も同じ要件と考えてよい。先のログ取得の要件と合わせて、現在の自組織でのログ取得状 況がこれらの要件を満たしているか、自己点検していただきたい。

52