ログ管理への取組みの分類
前回からの続きとなりますが、「個人情報保護法」「内部統制」がログ管理ツール導入の契機になったという説明をしましたが、勿論、ログはそれ以外の目的でも多く利用されています。特に、Webアクセスのログ分析などは、以前から多くの企業で実施され、マーケティングに有効に活用されています。こうした使い方と分けて考えるため、下表にログ管理への取り組み方の分類をまとめます。| 分類 | ログ管理への取組み内容 | 主な利用目的 |
|---|---|---|
| 規制対応型 | 政府の規制や関係者の要望等を受け、ログ管理を受動的な形で取組を行うもの。 ログはほぼ、溜められているだけである事が多い。 | 内部統制(IT全般統制)等、コンプライアンス対応としてのログ管理。 |
| 事後調査型 | 事故・障害が生じた際、その原因究明や早期復旧を目的としたログ管理の取組みを行うもの。 原因調査に必要なログに対する検索性などは事前に確認されている事が多い。 | システム運用や、情報漏えい対策として事後調査のためのログ管理。 |
| 機会追求型 | ログ分析を行う事を、新たなビジネスへの展開に有効と捉え、積極的に取り組みを行うもの。 分析方法はある程度確立されている。 | Webサイトへのアクセス分析などマーケティング活動への利用。 |
| 持続発展型 | 機会追求型を発展させ、コンプライアンス対応や局所的な活用に留まらず、 ログ分析を事業活動全体に活用する取り組みを行うもの。 | 現状、殆ど例は無い。 今後はビッグデータ分析等が発展し、こうした全社的なログ管理・活用が実現される可能性はある。 |
様々なログの種類
「ログ」という言葉から、思い浮かぶものは何でしょうか。システムの運用を担当されている方であれば、サーバやネットワーク機器のシステムログなど、セキュリティを担当されている方であれば認証ログやデータベース等の監査ログやファイアウォールやIPS/IDSのログなど、Webマーケティングを担当されている方であれば、自社Webサイトへのアクセスログなどでしょうか。ログはITシステムの動作履歴ですから、業務の大部分をITシステムに依存する現代の企業では、様々な目的でログを収集しています。下記に、ログの分類の一例を挙げます。| 大分類 | 中分類 | ログの種類 | 主な対象 |
|---|---|---|---|
| 個人デバイス ※PC、携帯電話、スマートフォン | OS | 操作記録、設定変更記録、認証ログ | クライアントPC 用、モバイル、スマートフォン用 |
| アプリケーション | 操作記録、通話・通信記録、チェック記録 | Office、ブラウザー、メーラー、業務用ソフト、アンチウィルスソフト、 パーソナルファイアウォール、URL フィルタリング 他 | |
| サーバ | OS | 認証ログ、操作記録、SYSLOG、エラーログ | サーバOS |
| ミドルウェア | 認証ログ、操作記録、アクセスログ、エラーログ | Web エンジン、メールゲートウェイ、DBMS、アプリケーションサーバ | |
| アプリケーション | 認証ログ、操作記録、アクセスログ、エラーログ | FireWall、Proxy、VPN、IDS/IPS、リモートアクセスサーバ、Web アプリケーション、 ファイルサーバ、ディレクトリ、DHCP、メールボックス、 アンチウィルス(マルウェア対策)、DB、SFA、CRM、会計、人事 | |
| ネットワークデバイス ※ルーター、スイッチ、負荷分散装置、 無線LANアクセスポイント | - | 操作記録、通信記録、アクセスログ | 独自ハードウェア、SNMP |
| 物理 ※監視カメラ、入退室、キャビネ閉開、 キーBOX、プリンター、RFID 関連 | - | カメラ映像、入退室記録、印刷ログ、ドア閉開記録他 | 独自管理サーバ |
ログの記録内容
それでは、具体的なログの内容を見てみましょう。ログの種類によって違いはありますが、アクセスログに記録される代表的な項目は下記になります。| 概要 | アクセスログ (Windowsイベントログ) | アクセスログ (データベース) | アクセスログ (Webサーバ) | |
|---|---|---|---|---|
| いつ | そのアクションが発生した日時 | Wed May 26 14:36:24 | 2023-08-11T06:53:36 | 27/May/2023:00:32:47 |
| 誰が | そのアクションを行った人、機器 | YAMADA\yamada | DBS\Administrator | 192.168.0.1 |
| 何を | そのアクションが何に対して行われたのか | C:\WINDOWS\explorer.exe | EMP | www.logkatsu.com/index.html |
| どこで | そのアクションがどこで行われたか | (そのログが発生したサーバ名・IPアドレス) | (そのログが発生したサーバ名・IPアドレス) | (そのログが発生したサーバ名・IPアドレス) |
| どうやって | そのアクションが、どのように行われたか | オブジェクト アクセスの試行 | select * from EMP; | GET /index.html |
| どうなった | そのアクションの結果はどうだったか (成功/失敗/エラーコードなど) | 成功の監査 | 0 (成功) | 200 (成功) |
Windowsイベントログ
Security[567]: [53558, 成功の監査, Wed May 26 14:39:18, YAMADA\yamada, YHAMADA] オブジェクト アクセスの試行: オブジェクト サーバー: Security ハンドル ID: 4612 オブジェクトの種類: File プロセス ID: 1820 イメージ ファイル 名: C:\WINDOWS\explorer.exe アクセス マスク: ReadData (または ListDirectory)Webサーバアクセスログ
192.168.0.1 - - [27/May/2023:00:32:47 0900] "GET /index.html HTTP/1.1" 200 60276 "https://logstorage.com/" "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"データベースアクセスログ
4429496729557
2023-08-11T06:53:36.937000Z/DBS\Administrator
DBS\AdministratorWORKGROUP\DBS1432:600
00SYSDBA1278573858 select * from EMP
問題点① ログは点在している
ログが点在している事は、下記の問題があります。- ログの追跡が困難 ITシステム上での人の動きやデータの流れを追跡するためには、異なる複数のログを繋ぎ合わせて確認する事が必要になります。例えば、あるサーバ上で何らかの異常が生じた際、その原因調査のために、「サーバ自身のアクセスログ」「サーバに接続していた端末のアクセスログ」「サーバが置かれているマシンルームの入退室ログ」など、様々なログを調査する事があります。 そうした際、ログが点在したままでは、追跡調査は極めて困難です。
- ログの保存期間が統一できない 各サーバ・機器上にそのままログを保存する方法では、保存する期間は各サーバ・機器が持つ機能や、ストレージの大きさに依存する事になります。特にネットワーク機器などは、長期間のログを保管する為の領域を持っていない事が多く、短期間でログが捨てられる事もあります。これは、先に説明したログの追跡を更に困難にします。
- ログの改ざんに対して無防備 悪意を持った人物によってITシステム上で何らかの不正が行われた場合、その痕跡を残さない為に、ログが改ざん・削除される事もあります。各サーバ・機器上にそのままログを保管する方法では、このログの改ざん・削除に対しては無防備です。
問題点② ログの形式がバラバラ
残念ながら現在、ログの形式に関する共通的なルールはほぼ無いと言って良く、各製品やアプリケーションがそれぞれ独自の形式でログを出力しています。更にそれらのログの中には、ユーザが読むことを意識して出力されていないものも多くあります。そのため、ログを管理する際は下記を意識する必要があります。- ログの内容が理解出来る形で管理する
- 必要に応じて情報を付加して管理する
