セキュリティログ統合管理システム(2) -ログ改ざん検知-

(1)

セキュリティログ統合管理システム(2)

―ログ改ざん検知対策―

金子洋介小林信博村澤靖三菱電機株式会社

1. はじめに

近年、情報社会の発展に伴い、コンピュータに関するセキュリティ事故が多発している。この背景の下、事故原因の分析にログが利用される機会が増加し、正確な分析を行なうためにログの完全性の維持が重要視されてきている。本稿は、我々が開発したログ統合管理システム[1]_{のログ改ざん検知対策について報告する。}

2. 課題

ログ改ざん検知対策を実現する上での課題を示す。 (1) 脅威とセキュリティ対策の明確化ログ改ざん検知対策を実現するためには、ログ改ざんの原因となるログ統合管理システムに対する脅威を漏れなく抽出し、脅威に対して効果的なセキュリティ対策を検討する必要がある。 (2) ログ統合管理システムの機能強化脅威によっては、OS の機能や平常時の運用で対策できない可能性がある。これらの脅威に対しては、ログ統合管理システムでのセキュリティ対策を検討し、ログ改ざん検知の機能を実現する必要がある。

3. 解決策

前章で示したログ改ざん検知対策の課題に対し、2 点の解決策を検討した。 (1) ログ統合管理システムの脅威分析ログ統合管理システムの脅威分析を実施し、ログ改ざんの原因となる全ての脅威を明確化した。また、抽出した各脅威に対し、動作環境、運用、およびログ統合管理システムの機能強化の 3 視点から、セキュリティ対策方針を検討した。 (2) ログ統合管理システムの機能強化ログ統合管理システムの機能を強化し、動作環境や運用での対策が困難な脅威に対応した。尚、対応に当たり、現在のログ統合管理システムの基本的な仕様や動作にインパクトを与えないように実現方式を検討した。

4. ログ統合管理システムの脅威分析

以下に、ログ統合管理システムの脅威分析手法を示す。本手法は、参考文献[2]に記載された手順を参考とした。 (1) 保護資産の識別初めに、脅威源から守るべき資産を決定した。本脅威分析では、図 1に示す通り、収集・管理の対象とするログファイルだけでなく、ログ管理サーバや管理対象端末など、ログの収集・管理の動作に影響を及ぼす対象を保護資産とした。ログ管理サーバ インターネット or イントラネット ログ管理サーバ管理対象端末（ユーザ端末、サーバ、etc）管理対象システムログファイル出力収集統合ログDB WWWサーバ保護資産凡例 Windows OS Windows OS ログ管理エージェントログ管理サーバ インターネット or イントラネット ログ管理サーバ管理対象端末（ユーザ端末、サーバ、etc）管理対象システムログファイル出力収集統合ログDB WWWサーバ保護資産凡例 Windows OS Windows OS ログ管理エージェント図 1 保護資産 (2) 脅威の抽出次に、保護資産の脆弱性と脅威源に着目し、脅威を抽出した。本脅威分析では、管理者、端末利用者、およびそれ以外の権限外のユーザを脅威源とした。また、保護資産を、ログ管理システムを構成するハードウェア、ミドルウェア、プログラム、および設定ファイルなど、詳細レベルのエンティティにブレークダウンし、エンティティ単位で脅威を抽出した。

Security Log Management System (2)

Tamper Detection for the Security Log Management System Yosuke Kaneko, Nobuhiro Kobayashi, and

Yasushi Murasawa

Mitsubishi Electric Corporation

3-341

3F-2

(2)

(3) セキュリティ対策方針の検討最後に、抽出した全ての脅威に対し、セキュリティ対策方針を検討した。本脅威分析では、現状のログ統合管理システムの機能や動作に影響を与えないように留意し、パーミッション設定やユーザ権限の分離などの動作環境での対応、機器の安全な場所への設置や管理者に対する教育や訓練などの運用での対応を検討した。ログ統合管理システムの制限上、これらの対策が困難な脅威に対しては、ログ統合管理システムの機能強化で対応を検討した。

5. ログ統合管理システムの機能強化

脅威分析の結果、ログ統合管理システムで対策が必要と判断した 2 つの脅威と、各脅威への対策を述べる。また、対策を実現したログ統合管理システムを図 2に示す。 5.1. ログ統合管理システムで対応すべき脅威 (1) 収集前に行なわれるログ改ざんログ統合管理システムはログファイルを定期的に収集するように動作する。また、収集対象のログファイルに制限はなく、特別な動作環境や運用で保護する事はできない。そのため、悪意を持ったユーザがログ統合管理システムの収集前にログファイルを改ざんする可能性がある。 (2) 不注意や操作ミスによるログ改ざんログ統合管理システムは、複数の管理対象端末のログを統合ログ DB で管理しており、収集後は管理者が参照する。教育や訓練を強化したとしても、不注意や操作ミスによりログが改ざんされる可能性がある。 5.2. 脅威に対する対策の実現方式 (1) 収集時のログ改ざん有無検証方式前節(1)の脅威に対し、ログ収集時にログ統合管理システムが改ざんの有無を検証する方式で対応した。本方式は、Windows オペレーティングシステムのセキュリティ監査機能を利用する。本機能により、ログファイルへの全プロセスのアクセス履歴が監査ログへ記録される。ログ管理エージェントは、ログの収集時に前回の収集時から今回の収集時までに記録された監査ログを参照し、不正アクセスの有無を検証する。これにより、収集内容の改ざん有無を判断する。 (2) 検証コードによるログ改ざん有無検証方式前節(2)の脅威に対し、任意の時点で統合ログログ管理サーバ管理対象端末ログ管理システム管理者改ざん脅威源 Windows OS セキュリティ監査機能セキュリティ監査ログアクセス監視監視内容出力管理対象システムログファイル出力ログ管理エージェント ①ログ収集・転送 ③検知コード生成 ②収集時検証監視情報参照 インターネット or イントラネット 収集管理対象端末統合ログDB ログ管理サーバ ④ログ受信・投入 ⑤保管コード生成 (1)ログ検証転送投入参照検証 WWWサーバ Windows OS 改ざん脅威源ログ管理サーバ管理対象端末ログ管理システム管理者改ざん脅威源改ざん脅威源 Windows OS セキュリティ監査機能セキュリティ監査ログアクセス監視監視内容出力管理対象システムログファイル出力ログ管理エージェント ①ログ収集・転送 ③検知コード生成 ②収集時検証監視情報参照 インターネット or イントラネット 収集管理対象端末統合ログDB ログ管理サーバ ④ログ受信・投入 ⑤保管コード生成 (1)ログ検証転送投入参照検証 WWWサーバ Windows OS 改ざん脅威源図 2 機能強化の実現方式 DB で管理するログの完全性を検証する方式で対応した。本方式は、ログ管理エージェントが、ログ収集時にメッセージ認証コードである検知コードを付与し、ログ管理サーバへ転送する。ログ管理サーバは、ログ収集単位毎の前後関係を考慮したハッシュチェーンである保管コードを付与し、統合ログ DB で管理する。検証時は、統合ログ DB に格納したログに対し、2 種類の検証用コードを再生成することで完全性を判断する。

6. 評価

以上の通り説明した手法をログ統合管理システムへ適用した。脅威分析で 175 件の脅威を抽出した。抽出した全脅威に対し、運用と動作環境での対応、およびログ統合管理システムの機能強化によるセキュリティ対策方針を示すことができた。これにより、ログの改ざん検知対策を実現した。

7. おわりに

ログ統合管理システムのログ改ざん検知対策について報告した。これにより、ログの収集、管理の全過程での改ざんを検知でき、完全性を検証した上でログを活用することができる。参考文献 [1]樋口他,“情報セキュリティサービス(1) –ログ統合管理-”,第 67 回情処全大,4A-A,Mar.2006 [2]JEITA,“セキュリティ脅威とその対策方針パッケージ”,Apr.2005 [3]芦野他,“USB デバイスを用いたデジタルフォレンジック保全方式の提案と評価”,2005-CSEC-30, 2005/7/22

セキュリティログ統合管理システム(2) -ログ改ざん検知-