9. ログ
JIS Q 27002におけるログ管理のポイント
- 監査ログ取得
- システム使用状況の監視
- ログ情報の保護
- 実務管理者及び運用担当者の作業ログ
- 障害のログ取得
- クロックの同期
ログ取得の目的
ログに残すもの
- いつ
- 実行日時
- タイムスタンプ
- 誰が
- アクセスユーザ
- IPアドレス
- コンピュータ名
- 何に
- 対象資源
- 実行プログラム
- テーブル
- どうした
- 以下の操作と実行結果(成功/失敗)
- プログラムの起動/停止、ログイン/ログアウト
- 特権操作
- 許可されているアクセス/無許可アクセス
- 成功したアクセス/失敗した試み
- 以下の操作と実行結果(成功/失敗)
ログ管理の留意点
- 対象と保存期間の決定
- 改ざん防止策
- ハッシュ値の利用
- ログファイルのバックアップ
- バックアップ媒体の盗難
- 媒体に通番を付与し台帳管理を行った上で、遠隔地保管や施錠管理された金庫等での保管
- バックアップ媒体中のデータ改ざん
- WORM機能の媒体
- バックアップ媒体の盗難
複数機器にまたがるログの分析
- 時刻を合わせる(NTPサーバ:123)
- タイムゾーンを統一する
- フォーマットを正規化する
- X-Forwarded-Forヘッダフィールド
- 変換前の送信元IPアドレスをログに残せる
- ログ管理システムの管理
統合ログ管理システムの機能
- 各サーバのログ収集機能(一元管理機能)
- ログの安全な保存機能
- 暗号化
- アクセス制限
- 改ざん検知
- 圧縮等による長期保存機能
- ログの検索、分析機能
- アラート通知、レポート出力機能