Software Design plus シリーズ『セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術』(折原 慎吾他,技術評論社,2018年9月21日)を読了。
ログの活用方法(p. 4)
- 事実の確認
- 過程の確認
- 将来起こり得ることの予測
どんなログを取得するか検討するとき,事実の確認,過程の確認,将来起こり得ることの予測ができるか,を切り口にしてみる。
ログに出力すべき項目(p. 53 - 56)
5W1H と Referer とセッション ID をログに出力すればよい。
前述したインシデントの経験から,ログ分析を自動化する主目的は,次の 2 点だと考えます。(p. 142)
- 発生したセキュリティインシデントを早急に発見すること
- セキュリティインシデントを発見するために日々の動作状況を観察すること
ログ分析を自動化すること目指そう。
リスクを想定して,ログ分析を実施してみよう。
明確なセキュリティポリシーがない場合や,セキュリティポリシーはあっても,ログの取り扱いに関して明記されていない場合,次に挙げるポイントを考慮して検討してください。(p. 181)
- 自組織に関連する法規がないか確認する
- ログの利用目的を明確にする
- ログ管理に利用できるリソースを確認する
ログに関する社内規則があるので,それを拠り所にログの取り扱いを検討する。
ログ分析においても Extract(抽出) / Transform(変換・加工) / Load(データのロード)を実践することで,
- ログのメッセージ部分を正確に分類するために,付加情報を加えて分析の精度を向上させる
- ログの必要な部分のみを抽出することで,分析にかけるデータ量を減らし,処理速度を向上させる
- 想定外の文字列(ログイン ID などシステムのユーザが入力するもの)が混入していてログ読み込み時に正しく読み込めなかったログが,分析できるようになる
など,利点の多い考え方ですので,ぜひ取り入れてください。(p. 182 - 183)
膨大なログは,機械的に分析できるようにしておきたい。