ログ管理の最新動向と クラウドサービスへの対応

Infoscience Corporation

www.infoscience.co.jp [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889

2015年7月9日

インフォサイエンス株式会社

プロダクト事業部

マイナンバー対策で求められる

現実的なログ管理とは

Contents

1. インフォサイエンスのご紹介

2. 情報セキュリティとログ

3. マイナンバーとログ

4. 過去の情報漏えい事件から見るログ管理の現実解

5. 統合ログ管理システム構築

インフォサイエンス株式会社 概要

 設立

1995年10月

 代表者

宮 紀雄

 資本金

1億円

 事業内容

・パッケージソフトウェアの開発

・データセンタ運営

・受託システム開発サービス

・包括システム運用サービス

 所在地

東京都港区芝浦2丁目4番1号 インフォサイエンスビル

統合ログ管理システム「Logstorage」

導入社数 1,800社

8年連続 シェアNo.1

51.1%

A社

21.2％

B社

8.8％

C社

(7.9%)

D社

(5.3%)

E社

(3.5%)

その他

(2.2%)

ログ管理の目的

個人情報保護法

プライバシーマーク

ISO27001/ISMS

経産省/クラウドセキュリティガイドライン

PCI DSS

様々なルールや脅威への対応のために、ログの管理が行われている

金融商品取引法(IT全般統制)

不正アクセス禁止法

マイナンバー/番号法

サイバーセキュリティ基本法

不正抑止

事後調査

APT/標的型攻撃（外部脅威）

個人情報・機密情報漏えい（内部犯行）

情報セキュリティの最後の砦であるログ管理は、

あらゆる法令・ガイドラインで対応が求められている

予兆検知

マイナンバー

2015年10月より、住民票を有する者全てに、12桁の番号（マイナンバー）の通知が行わ

れ、2016年1月より、各種行政手続きでマイナンバーの利用が開始される。

行政機関や地方公共団体等で、「社会保障」「税」「災害対策」の分野で保有する個人情

報とマイナンバーとを紐づけて効率的に情報の管理を行い、さらにマイナンバーを活用し

て、同一の者に関する個人情報を他の機関との間で迅速かつ確実にやり取り（情報連携）

することが可能になる。

マイナンバーとは

Ａ 基本方針の策定

Ｂ 取扱規程等の策定

Ｃ 組織的安全管理措置

Ｄ 人的安全管理措置

Ｅ 物理的安全管理措置

Ｆ 技術的安全管理措置

講ずべき安全管理措置の内容

特定個人情報の適正な取扱いに関する ガイドライン(事業者編)

特定個人情報保護委員会 (平成26年12月)

特定個人情報の適正な取り扱いに於いても、ログ管理は極めて重要

講ずべき安全管理措置の内容

ｂ 取扱規程等に基づく運用

取扱規程等に基づく運用状況を確認するため、

システムログ又は利用実績を記録する

。

≪手法の例示≫

＊事務取扱担当者の情報システムの利用状況（ログイン実績、アクセスログ等）の記録

ｄ 情報漏えい等事案に対応する体制の整備

ｃ 取扱状況を確認する手段の整備

C 組織的安全管理措置

D 人的安全管理措置

ａ 事務取扱担当者の監督

事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱

担当者に対して必要かつ適切な監督を行う。

ログの監査による「不正抑止」

ログのモニタリングによる

アクセス状況の把握／情報漏えい時の追跡

ｃ 外部からの不正アクセス等の防止

≪手法の例示≫

＊ ログ等の分析を定期的に行い、不正アクセス等を検知する。

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを

導入し、適切に運用する。

F 技術的安全管理措置

_{ログの監視による「外部脅威対策」}

マイナンバーとログモニタリング

人事給与システム

ファイルサーバ

人事・経理担当者PC

運用担当者PC

特定個人情報

操作

帳票出力

データベース

アクセスログ

ファイルサーバ

アクセスログ

システム利用ログ

PC操作ログ

PC操作ログ

入退室ログ

特定個人情報

特定個人情報利用区域

マイナンバー対策に於けるログのモニタリングポイント

・・・モニタリング対象ログ

ログ・モニタリングの対象は人事給与システムだけではない

特定個人情報 特定個人情報

特定個人情報に対するアクセス監査

人事給与システム

運用担当者PC

ログを可視化・モニタリングするための仕掛け

統合ログ管理システム

高圧縮保管

改ざん検出

自動レポート出力

横串・横断検索

アクセス制限

ログ分析・グラフ化

リアルタイムアラート

統合管理されたログ

ログ

ログ

人事・経理担当者PC

入退室管理

ログ ログ ログ ログ

ファイルサーバ

データベース

ログ

データベース

統合ログ管理システムによるアクセス監査

特定個人情報に対するアクセスログを一元管理し、モニタリングする事で不正に対する

抑止効果

を発揮すると共に、

特定個人情報が適切に扱われていることを証明する

。

過去の情報漏えい事件から見る

情報漏えい事件とログ

漏洩企業

事件発覚

漏洩件数

犯人

事件後の対応策（ログ関連）

A社

2007年

863万件

業務委託先の社員

ログのチェック頻度を高める。

B社

2009年

148万件

社員

(システム部の部長代理)

顧客情報検索のログデータの監視、顧客情報へのアクセ

スログの検証強化。

C社

2014年

2,070万件

業務委託先の社員

アクセスログの監視設定の強化。（定期チェック）

[共通点]

- 犯人は漏洩したデータに対してアクセス権限を持っていた。

- 犯人は情報を外部記憶媒体に保存して持ち出した。(CD-R, USB接続の記

憶媒体など)

- 犯人は金に困っていた。

- ファイルサーバやデータベースアクセス等のログは取得されていたが、

顧客から問合せがあるまで犯行を見つけることができなかった。

- 事件後、対策の1つとしてログの監視強化を挙げる。

内部漏洩の典型例

守るべき情報の所在

データベース

流出経路

ログ管理システム

ログ送信?

外部記憶媒体

File Server

DB Server

持出し

作業員

（

アクセス権限有り

）

ログ送信

参照

典型的な例

デバイス制御を過信

モニタリング

されていない

PC

Mail

Server

Web

Proxy

Server

印刷

複合機

ログをそもそも見ていないか、ログを見るルール・基準を持っていない。

その結果、「抑止」が効かない。

Q. 情報をログで管理してチェックすればもっと早く不自然な情報の取得に気付くことができた

のでは？

A. 権限を持った者が決まった方法を装って行った場合には、異常を知らせるサインは出なかっ

た。お客様から問い合わせが何件も重なり始めておかしいと気づいた。

Q. すべての情報をCDにコピーしたのは、不自然な行為ではなかったのか。

A. 結果としては不自然な行為だったが、

絶対にないかと言われれば、ない行為ではない

。

それだけを取り上げて変な行動だと気がつくというのは、管理の問題なのか調査中。

B社 記者会見でのやりとり

・データベースに直接アクセスせず、複数のサーバーを経由して顧客情報をコピーした。

・データベースにアクセス出来る権限は犯人を含め数人しかいなかったが、経由したサーバには

数百人がアクセス可能だった。

・犯人：

「

ばれないと思った」

C社 犯人の犯行・供述

不完全な「抑止効果」

どちらの企業もログ管理は行っていたが、

「抑止」が効いていない

住基ネット不正利用とモニタリング

・I市 市民部市民課の職員(50代)が、業務とは関係なく住基ネットを利用し、

自らがファンである 有名タレントの情報を検索。

・

約2時間後、全国の住基ネットシステムを管理するセンターからタレントに

関する情報検索があったとの通報

があったため発覚。その後、職員は懲戒処分

を受ける。

・職員：「魔が差した」

事件の概要

・N市 市民課の支所の職員(30代)が、業務とは関係なく住基ネットを利用し、

有名人2人の情報を検索。

・

翌日、全国の住基ネットシステムを管理するセンターから著名人に関する情報

検索があったとの通報

があったため発覚。その後、職員は懲戒処分を受ける。

・市が過去の記録を調査したところ、別の職員(60代)の不正利用(友人10人の情

報検索)も発覚。

・2人の職員：「端末を操作する機会がなく、練習した」

住基ネット不正利用とモニタリング

「完全な」ログのモニタリングは不可能。しかし、モニタリングしている

事実を継続して示す事により、抑止効果を高めていく他無い。

・「事後調査」のために、必要なログは全て取っておく必要がある。

・しかし、全てのログをモニタリングするのは不可能。

・データを持ち出すのは、権限を持っているユーザ。モニタリング対象を、

権限を持つユーザに絞る。

・システム担当とモニタリング（セキュリティ）担当は分ける。

・一発アウトのログだけではなく、業務上発生し得ても漏洩リスクのあるログ

も捕捉する

・ログを捕捉したら当該社員に確認を取るなどして「抑止」を図る。

ログモニタリングの対象を絞り、「抑止」に重点を置く

ログモニタリングは性悪説に立った社員の監視？

・企業の機密情報やマイナンバーなど、社内にはカネになるデータが溢れている。

・抑止により「魔が差す」「ばれないと思われる」状況を無くす。

・社員の潔白を証明することにもなる。

内部漏洩 ログ管理の現実解

「予兆」を見つけ、「抑止」を効かせるログ管理

アクセス件数の閾値設定

- データベースからの取得行数のチェック

- 個人情報が含まれるファイルに対するアクセスを、個人情報件数でチェック

外部への情報持ち出し

- USB接続ログのチェック

- 添付ファイル付きメール送信ログのチェック

- 外部アップロードログのチェック

申請データとログの突き合わせ

- 申請外のアクセスが無いかチェック

相関

チェック

アクセス権を持つ者に対するログのモニタリング例

ログの自動チェック

ルール設定

チェックNGユーザ

に対するヒアリング

ルール改善

NG

このフローを仕組みとして作る

「予兆」を見つけ、「抑止」を効かせるログ管理

ログ管理の前にやっておくべきこと

適切なログモニタリングを実現するために解決すべき課題

・ログを「読める」ものにする

・フォーマットの異なるログの形式を吸収する

・ログに不足している情報を付加する

ログモニタリングの目標

・策定したルールとログを自動的に突き合わせ、チェックしていく仕組み。

(予兆検知と不正抑止)

・インシデント発生時の迅速なログ追跡。(事後調査)

・守りたい情報が何で、どこにあるのかを明確にすること。

・守りたい情報に対し、アクセス権の管理を行うこと。

統合ログ管理システム構築の基本

ログ収集機能

[受信機能]

・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]

・Logstorage Agent

・Logstorage EventLogCollector

・Logstorage SecureBatchTransfer

ログ保管機能

ログ検知機能

検索・集計・レポート機能

・ポリシーに合致したログのアラート

・ポリシーはストーリー的に定義可能(シナリオ検知)

・ログの圧縮保存／高速検索

・ログの改ざんチェック機能

・ログに対する意味（タグ）付け

・ログの暗号化保存

・保存期間を経過したログを自動アーカイブ

・ログの保存領域管理機能

・ログの検索／集計／レポート生成

・検索結果に対する、クリック操作による絞込み

・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)

<Logstorage システム構成>

統合ログ管理システム「Logstorage」

ログ収集実績

［OSシステム・イベント］ ・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD ［Web/プロキシ］ ・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus ［ネットワーク機器］ ・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・FortiGate ・BIG-IP ・IronPort ・ServerIron ・Proventia ［クライアント操作］ ・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・IVEX Logger ・MaLion3 ・秘文 ・SeP ・QND/QOH ［データベース］ ・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL ［サーバアクセス］ ・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control

［データベース監査ツール］ ・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium ［メール］ ・MS Exchange ・sendmail ・Postfix ・qmail ・Exim ［ICカード認証］ ・SmartOn ・ARCACLAVIS Revo ［その他］ ・VMware vCenter ・SAP R/3 (ERP) ・NetApp (Storage) ・EMC (Storage) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server ［運用監視］ ・Nagios ・JP1 ・Systemwalker ・OpenView ［アンチウィルス］ ・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris ［Lotus Domino］ ・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher ［複合機］ ・imageRunner ・Apeos ・SecurePrint!

日本国内で利用されているものを中心に

_{250種類以上}

のログ収集実績

【Logstorage アライアンス製品（連携パック）】

Palo Alto Networks

next-generation firewalls

SecureCube / AccessCheck

LanScope Cat

Amazon Web Service

_{(CloudTrail/Config その他)}

CWAT

Sendmail

InfoTrace

Auge AccessWatcher

MylogStar

PISO

i-FILTER

IVEX Logger シリーズ

SecurePrint!

MaLion

Chakra Max

VISUACT

SSDB監査

File Server Audit

人間が読んで理解できる形式への変換が必要

日時

サーバ名

アクション

ドメイン名

ユーザ

ファイルパス

ファイル名

成功／失敗

2013-03-01 00:00:00

FS01

ファイル読み込み

infoscience

yamada

D:¥common¥

顧客リスト.xls

成功

2013-03-01 01:00:00

FS01

ファイル書き込み

infoscience

yamada

D:¥common¥

顧客リスト.xls

成功

2013-03-01 02:00:00

FS01

ファイルリネーム

infoscience

yamada

D:¥common

コピー ～ 顧客リス

ト.xlsx

－

日時

サーバ名

アクション

ドメイン名

ユーザ

接続元ホスト名

接続元IPアドレス 成功／失敗

2013-03-01 00:00:00

FS01

ログオン（ローカル認証）

infoscience

yamada

－

－

成功

2013-03-01 01:00:00

FS01

ログオン（リモート認証）

infoscience

yamada

YAMADA-WORK

192.168.0.1

成功

Windowsイベントログの例

Logstorage 機能

EventLogCollector

GeoIP

URLカテゴリ

DB

コードマスタ

外

部

デ

ー

タ

連

携

活用例

_{組合わせるデータ}

様

々

な

ロ

グ

デ

ー

タ

ログに足りない情報を足すという考え方

脅威DB

統合IDマスタ

部署毎のログ分析

部署マスタ

ログ中のコード/IDと

メッセージの対応付け

機器によるユーザID体系の

違いを吸収

アクセス先Webサイトの

カテゴリ分析

アクセス元の

国の分析

アクセス元の

脅威の分析

ログ

Logstorage 機能

外部マスタ連携

ログの可視化／外部データとの連携

ログの追跡

ログに対する意味づけ・タグ付け

1,カード認証OK ,2014/6/15 08:56,

yamada

山田 太郎,ｶｰﾄﾞ操作記録,ｶｰﾄﾞ:施解錠状態,(01011001)(扉1-1),解錠 入室

入退室

2014/06/15 08:58:27,2131,0,

yamada

,192.168.0.1,PC01,192.168.111.124,SMO01.local,Windowsにログオンしました。

PC認証

qmail: June 15 15:18:57 192.168.0.100 qmail: [ID 748625 mail.info] 1239747357.775176 info msg 322844:

bytes 15515 from <

yamada

@example.com> qp 2924 uid 7791

メール送信

"ora104","192.168.0.1",“

yamada

","ROOT","ORACLEDBCOLLECT",28,"localhost.localdomain","",10,29177,"Query","2014-06-15

13:04:10","2014-06-15 13:04:10",0,"2014-06-15 13:04:10",1,0,0,2,2,223,486,"select * from user where userid=‘admin' and

password="*****“…

DBアクセス

2014-06-15 15:16:20 EventLogCollector: write

yamada

C:¥Data¥list.txt 成功 3143473 3

ファイルサーバアクセス

Logstorage 機能

ログフォーマット定義

ログの追跡

ログ項目に対して「タグ」付けを行うことで、

異なるフォーマットのログを横断的に扱う

いつ?

誰が?

どうした?

何処で?/何に対して?

ログの追跡

ログの突合レポート

システム

ユーザID

作業開始時間

作業終了時間

SystemA

suzuki

2012/03/21 10:00:00

2012/03/21 12:00:00

マスタデータ（作業申請）

ログデータ

時刻

ｱｸｼｮﾝ

ユーザID

2012/03/21 13:12:31

ログオン

yamada

2012/03/21 14:49:35

ログオフ

yamada

2012/03/21 10:31:23

ログオン

suzuki

2012/03/21 12:38:21

ログオフ

suzuki

システム

ユーザID

作業開始時間（申請）

作業終了時間（申請）

ログオン時間

ログオフ時間

判定結果

SystemA

yamada

申請なし

申請なし

2012/03/21 13:12:31

2012/03/21 14:49:35

×

SystemA

suzuki

2012/03/21 10:00:00

2012/03/21 12:00:00

2012/03/21 10:31:23

2012/03/21 12:38:21

×

突合

ログデータとルール・基準の突合せ

突合レポート(Logstorageにより自動出力)

他にも下記との突合がある

・しきい値

・ログの組合せルール

・セキュリティポリシー

申請データとアクセスログの突合せ例

こうした突合せを自動的に実行・レポートすることにより、

ログのモニタリングを確実に、継続的に行うことが可能になる。

END

「マイナンバー対策で求められる現実的なログ管理とは」

2015/7/9

インフォサイエンス株式会社 プロダクト事業部

稲村 大介