本記事では、「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」において、ログが関連する項目を抜粋してご紹介します。また、それらの項目に対してSIEM・統合ログ管理システム「Logstorage」がどのように貢献できるかを解説します。
重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針とは
「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」は、重要インフラ事業者がサイバー攻撃やシステム障害などの脅威に備え、サービスを安全かつ継続的に提供し続けるために講じるべき情報セキュリティ対策の指針・対策項目を示したガイドラインです。
本ガイドラインの特徴は、「Plan(計画)→ Do(実行)→ Check(評価)→ Act(改善)」というPDCAサイクルに沿って指針・対策項目が整理されている点です。これは、事業環境や攻撃手法が常に変化する中で、情報セキュリティ対策も継続的に見直し、改善していく必要があることを示唆しています。
このような運用・改善のサイクルに欠かせないのが、情報システムの記録である「ログ」です。本資料においても、ログに関する記述が多数見られることから、その重要性がうかがえます。ただし、実際にログを適切に扱うには、多くの労力や専門的な技術が求められます。そのため、多くの現場では「SIEM・統合ログ管理システム」が活用されています。
本記事では、こうした背景を踏まえ、ログ管理を支援するシステムの一例として「Logstorage」を取り上げ、ログに関連する指針・対策項目についてご紹介していきます。
Logstorageとは
Logstorageは、サーバやネットワーク機器など、企業内の情報システムから出力される大量のログデータを迅速・確実に収集し、安全に保管する純国産システムです。
2002年の販売開始以来、ログデータの収集・保管や分析・アラート出力を可能にする製品として、内部統制・情報漏洩・情報セキュリティ対策・システム障害対策・監査要件対応などの目的に応え続け、先進企業や官公庁など5,500社を超える導入実績をもち、統合ログ分野のデファクトスタンダードとなっている製品です。
【収集】テキスト形式で出力されるログは、すべて収集可能です。別途syslogサーバも不要です。
【保管】最大1/10に圧縮し、暗号化することで安全に保管できます。改ざんされた場合の検知も可能です。
【検知】システムの異常や不正処理をリアルタイムに捉え、シナリオに基づいてアラートの出力が可能です。
【分析】グラフィカルなUIで、クリック操作で直感的に、検索・集計・レポート操作が可能です。
本ガイドラインにおいて、ログが関連する項目(抜粋)
4.1.3.「計画」の観点 (2)情報セキュリティリスク対応の決定
(イ)資産の管理
重要インフラ事業者等の取り扱う情報について、その重要性や法的要求、国民の安心感への影響等に応じて、機密性、完全性、可用性の観点から情報の格付け及び情報媒体(紙、電子)へのラベル付けを行う。 また、作成、入手、利用、保存、移送、提供、消去といった情報のライフサイクルを踏まえ、必要な取扱制限(例:複製禁止、持出禁止、配布禁止)を定め、実施する。
引用:重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
本節は、資産管理に関する指針を示しています。重要インフラ事業者が扱う情報には、社会的に大きな影響を与えるものが多く含まれます。そのため、各情報の重要性を「機密性」「完全性」「可用性」の観点から評価し、必要に応じて取扱制限(例:複製禁止、持出禁止、配布禁止)を設けることが求められます。
ログは、これらの制限が守られているかを確認・調査する上で有効です。例えば、PC操作ログを確認することで、「持出禁止のファイルが、取り出し可能な媒体(例:USBメモリーなど)にコピーされていないか」を調査できます。
Logstorageは、これらのログを収集し、暗号化などの方法で安全に保管できます。また、ログの確認・調査を効率的に行うための機能も提供しています。
(ウ)アクセス制御
重要インフラサービスの提供に係る情報システムや情報等へアクセスする利用者とそのアクセス権を適切に管理するため、利用者及びアクセス権の登録・ 変更・削除の正式なプロセスに係る申請ルート、承認者、作業者等を明確化するとともに、運用中においては利用者アクセス権の定期的なレビューを実施する。なお、情報システムへの特権的アクセス権の割当及び利用は特に厳重に管理する。
引用:重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
本節は、情報システムに対するアクセス制御の指針を示しています。重要インフラを支えるシステムにおいては、限られた権限を持つ人だけがアクセスできる状態を維持することが重要です。そのため、アクセス権の登録・変更・削除に関する明確なプロセスを確立することや、定期的なアクセス権の見直しなどが求められます。特に、システム管理者などの特権的アクセス権については、不正利用や誤操作による影響が大きいため、厳重な管理が必要です。
Logstorageを活用することで、「管理者アカウントの作成」や「権限変更」に関連する動作ログの分析やレポーティングが可能です。これにより、アクセス権が適切に管理・運用されているかをレビューすることができます。
(オ)物理的及び環境的セキュリティ
取り外し可能な外部記憶媒体等の装置の盗難を引き金にした機密情報の漏えいを防止するため、当該装置の使用制限や 、持ち出しに係る事前承認の仕組みを整備する。装置の処分や 再利用においても情報漏えいの可能性を考慮する。
引用:重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
本節では、装置の管理に関する指針を示しています。特に、「取り外し可能な外部記憶媒体(例:USBメモリ、SDカードなど)」は、データを簡単に持ち運べる反面、紛失・盗難・不正持ち出しなどのリスクを伴います。こうした情報漏えいを防ぐために、本節では、「外部記憶媒体の使用に関するルール」や「事前承認の仕組みの整備」について言及しています。
外部記憶媒体に関連するログ(例:Windowsイベントログなど)をLogstorageで収集・分析することで、誰が、いつ、どの端末で、どの記憶媒体を使用したかを可視化できます。これにより、「定めたルールが守られているか」の確認や「不正な情報持ち出しの兆候がないか」の把握・調査に役立てられます。
(カ)運用時のセキュリティ管理
●ログ取得 重要インフラサービスの提供に係る情報システムに対する不正なアクセスや操作等を監視する観点から、情報システムのイベントログや運用担当者の作業ログを記録する。 なお、ログの記憶装置の容量を検討する際は、ログの可用性についても考慮することが期待される 。 また、ログは悪意を持った人物やマルウェア等によって故意に改ざん、消去されないよう管理するとともに、ログの性質に応じた定期的な検査によって、ログに対する不正行為の有無を確認する。
引用:重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
本節では、ログ管理に関する指針を示しています。ここでは、不正アクセスや不正操作を監視する手段として、「情報システムのイベントログ」や「運用担当者の作業ログ」を取得・保管し、定期的にレビューすることが求められています。加えて、ログを保管する際のストレージ容量の確保や、悪意ある人物・マルウェアによるログの改ざん・削除を防ぐことについても言及されています。
Logstorageを利用することで、本節に対応したログ管理を実現できます。ログを最大1/10に圧縮して保管できるため、ストレージコストを削減できます。また、ログの暗号化や改ざん検出などの機能により、ログの保護はもちろん、改ざん・消去などの不正行為があったかどうかの確認を行うこともできます。さらに、ログの検索機能やレポート機能も備えているため、定期的なログレビューを効率的に行うことが可能です。
(キ)通信のセキュリティ
●ネットワークセキュリティ管理 重要インフラサービスの提供に係る情報システム等が取り扱う情報の機密性や完全性等を保護する観点から、専用線や暗号技術の活用、ネットワークの分離、ログ取得及び監視によるサイバー攻撃の検知等によってネットワークのセキュリティを確保する。
引用:重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
本節では、通信のセキュリティに関する指針を示しています。複数の項目が挙げられていますが、その中の一つに「ログの取得・監視によるサイバー攻撃の検知」があります。
通信に関連するログには、ファイアウォールのログ、IDS/IPSのログ、VPN機器のログなどがあります。Logstorageを利用することで、これらのログを収集・保管し、監視や分析を効率的に行うことが可能です。
【別紙3】対処態勢整備に係るサイバー攻撃リスクの特性並びに対応及び対策の考慮事項
③ 急速な被害拡大に繋がる攻撃が行われる可能性
調査に必要な情報には遮断・停止後に取得できなくなるものもあるため、遮断・停止前に時間の許す限り情報を収集する。収集すべき情報の例として、遮断・停止により失われるメモリ情報、プロセス情報や、遮断・停止中は取得できないログ等があり、環境に合わせて取得方法や手順を検討しておく。
引用:重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
サイバー攻撃が発覚した際には、被害拡大を防ぐために、ネットワークの遮断やシステムの停止といった措置が必要になる場合があります。しかし、これらの措置を講じると、その後のインシデント対応に必要なログやメモリ、プロセス情報などのデータが取得できなくなる恐れがあります。
そのため、本事項では「可能な限り必要な情報を収集した上で遮断・停止すること」や「自組織の環境に応じて、どの情報をどの手順で取得するかをあらかじめ検討・準備しておくこと」を推奨しています。
こうした状況において有効なのが、ログをリアルタイムで取得できる仕組みです。Logstorageは、ログのリアルタイム収集に対応しています。そのため、緊急で遮断・停止を行った場合でも、その直前までのログが蓄積されています。これにより、インシデント発生後の被害範囲の特定や原因究明などの調査を、迅速に進めることが可能になります。
⑥ 検知が困難な攻撃が行われる可能性
サイバー攻撃に対して十分な検知策を講じていない場合、攻撃を認識できず長期間にわたり攻撃を受け続ける可能性がある。不正行為の検知に繋がるログを削除して回避しようとするケースや、実態とは異なる数値を表示して正常に動作しているように見せかけ不正行為を行うケース等も存在し、検知が遅れるほど被害が拡大する可能性が高くなる。
…
攻撃による異常の痕跡を調査するため、重要システムの構成を把握するとともに、当該システムの通常時の動作や出力ログの内容について把握しておく。また、ログを改ざん、削除等から保護するための対策を行う。
…
長期間に渡り発覚しなかった攻撃を過去に遡って調査するため、平時に取得している各種ログを一定期間保存する。
引用:重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
攻撃者は、巧妙な手口で証拠隠滅を図ることがあります。例えば、ログの改ざんや削除を行う、マルウェアの活動を隠蔽してシステムの挙動を正常に見せかけるなどが挙げられます。こうした行為は、サイバー攻撃の検知を難しくします。特に、検知体制が不十分な場合には、発見が遅れて被害が深刻化するリスクが高まります。
このようなリスクに備えるため、本事項では以下の対応を推奨しています。
・通常時のシステムの動作や出力ログの内容を把握しておくこと
・ログを改ざん、削除から保護するための対策を講じること
・攻撃を遡って調査できるように、ログを一定期間保管すること
・外部に調査依頼する場合に備えて、開示可能な情報やその制限等を設けておくこと
Logstorageは、これらの対策を効率的に実施するための機能を備えています。例えば、ログを収集する機能に加えて、検索機能やレポート機能等も備えているため、日々のモニタリングやレビューを効率的に行えます。また、ログを暗号化した上で最大1/10に圧縮して保管するため、ストレージコストを削減しつつ、ログを安全に長期保管できます。
さらに、ログの種類ごとにアクセス権限を設定できるため、外部に調査依頼する際には、必要な情報のみを共有することが可能です。
まとめ
本記事では、「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」におけるログ関連の指針・対策項目に焦点を当て、SIEM・統合ログ管理システム「Logstorage」がどのように対応できるかをご紹介しました。
重要インフラのセキュリティ対策において、情報システムの記録であるログは、PDCAサイクルを回し、継続的な改善を行う上で不可欠です。資産管理における持ち出し制限の確認、アクセス制御のレビュー、外部記憶媒体の利用状況可視化、運用時の不正監視、通信におけるサイバー攻撃検知、巧妙な攻撃に対する証拠保全など、多岐にわたるセキュリティ要件でログが重要な役割を果たします。
Logstorageは、これらの要件に対し、ログのリアルタイム収集、最大1/10圧縮による安全な長期保管、暗号化・改ざん検出、ログ検索・レポート機能などの機能で支援します。これにより、重要インフラ事業者は、指針に沿ったログ管理を効率的かつ効果的に実現し、サイバーセキュリティ態勢を強化することが可能です。>>Logstorage製品ページはこちら
