平成24年度秋期情報セキュリティスペシャリスト試験午後I問2を題材に、システムログ解析を通じた情報漏えい対策を解説します。H社の顧客システムを例に、誰が何をどうしたいかという攻撃者の心理を読み解き、適切なモニタリング条件の設定から誤検知の防止、現場の業務変化への対応まで、ログ監視の極意を学びます。さらに、振る舞い検知や自動対処など、現代のセキュリティアーキテクチャに通じる最新技術も紹介します。 まず学習すべきはログモニタリングの考え方です。システムに対する不審な行動を早期に発見するためには、単純にログを取得するだけでなく、誰が何をどうしたいのかという脅威モデリングを行い、適切なルールを策定する必要があります。たとえば、権限を持たない者が機密情報にアクセスしようとした場合は内部機能の利用失敗として記録され、そもそもシステムに登録されていない利用者がアクセスを試みた場合は入り口の認証層でログイン失敗として記録されるといった、システムの階層構造とログの性質の違いを正しく理解することが重要です。次に重要なのが誤検知の問題と閾値の設定です。不審なアクセスを検知するために一定の閾値を設けますが、業務の都合でアクセス回数が増加した正当な利用者を不正アクセスとみなしてしまう誤検知が発生することがあります。これを防ごうと安易に閾値を引き上げてしまうと、本来見つけるべき本当の不正アクセスが埋もれてしまうというジレンマに陥ります。この問題を解決するためには、固定の閾値という絶対値のルールに加えて、前週と比べて急激な変化があったかという相対値のルールを組み合わせてダブルチェックを行う手法が有効です。また、システム上の数字だけを追うのではなく、定期的に現場の部署にヒアリングを行い、業務内容に変化がないかを確認してモニタリング条件を見直す継続的な改善プロセスが不可欠です。あわせて、監視を行っていることを社内に通達して悪意ある行動を抑止しつつ、具体的な監視条件は抜け道を作られないように非公開にするという心理的なアプローチも考慮する必要があります。さらに、現代のセキュリティアーキテクチャに通じる最新技術についても理解を深めておく必要があります。固定の閾値に依存するのではなく、人工知能が各ユーザーのいつもの行動を学習してベースラインを自動生成し、普段と違う異常な振る舞いだけをピンポイントで検知する技術が活用されるようになっています。また、ネットワークのアクセスごとに端末や場所、時間などを基に動的にリスクを評価し、不審なアクセスを検知した際には一時的にアカウントを自動停止したり、関係者に自動で確認の連絡を送信したりするなど、一連の対応を自動化する仕組みも重要性を増しています。これらの最新技術とログ監視の本質的なライフサイクルを組み合わせることで、より強固な情報漏えい対策を構築することができます。 www.youtube.com