【コンピュータセキュリティログ管理ガイド】のメモ

はじめに

【コンピュータセキュリティログ管理ガイドのメモ】

監査ログの管理について、社内のセキュリティ規定を読んでもよく分からなかったので、google先生に助けを求めました。

見つかったのは良さげな【コンピュータセキュリティログ管理ガイド】です。
とりあえす、読んでみて、自分が気になるところをまとめました。

【コンピュータセキュリティログ管理ガイド】は2006 年 9 月に米国国立標準技術研究所が作成したものです。古いですが......

コンピュータセキュリティログ管理

コンピュータセキュリティログデータの生成、通信、格納、分析、廃棄するプロセスのことである。

ログ管理インフラストラクチャ設計時の注意点

• 個々のログ生成元に関する現在および将来のニーズに対応できるように計画を立てなければなら
  ない。
• 処理するログデータの量
• ネットワーク帯域幅、
• オンラインおよびオフラインのデータストレージ、データのセキュリティ要件
• ログ分析スタッフが必要とする時間とリソースなどがある。

OS のセキュリティ関連データの最も一般的な種類

1. システムイベント
2. 監査記録

補足

1.OS のログの多くは、syslog 形式で作成される
2.そのほかのOS のログ（Windows システムのログなど）は、独自の形式で記録される。

ログ管理の課題

下記の例の示す通り、ログ管理の各フェーズにおいて、様々な課題がある

1. ログの種類の多様性と生成元の多さ
2. 生成されるログの機密性、完全性、可用性が偶然または作為的に損なわれる可能性がある
3. ログの分析を担当する人員が十分な準備をしたり支援を受けたりできない場合が多い

ログの生成および格納

• ログ生成元の多さ
• 一貫性のないログ内容
• タイムスタンプのずれ
• 一貫性のないログ形式
• ログデータの量が増大し続けることである

ログの保護

• 機密性,完全性,可用性の保証

ログ分析

• 多くの管理者が、ログ分析を退屈な作業であり、多くの時間を費やす割には、得られる恩恵がほとんどないと考えている
  ことである。
• ログ分析は、どちらかといえば、事後的に行うものと捉えられている。つまり、何か問題
  が起きたときにやればいいものだと思われている。
  今、どのような動作が行われているかを明らか
  にし、
  今、まさに起ころうとしている問題の兆候を発見するという事前予防的な活動としてはなかな
  か捉えられていないのである。

ログ管理の課題への取り組み

1. 組織全体のログ管理に適切な優先順位付けを行う
2. ログ管理に関するポリシーおよび手順を確立する
3. セキュアなログ管理インフラストラクチャを構築および維持する
4. ログ管理の各種責任を担うスタッフに対して適切な支援を提供する

ログ管理インフラストラクチャの一般的な構成

1. ログ生成
2. ログ分析および格納
3. ログ監視

ログ管理インフラストラクチャの機能

全般

1. ログの構文解析
2. イベントのフィルタ処理
3. イベントの集約

格納

1. ログのローテーション
2. ログのアーカイブ
3. ログの圧縮
4. ログの縮減
5. ログの変換
6. ログの正規化
7. ログファイルの完全性チェック

分析

1. イベント相関
2. ログの参照
3. ログの報告

破棄

1. ログの消去

ログ管理ソフトウェアの種類

1. syslogベース
2. SIEM ソフトウェア

syslog のセキュリティ

1. 信頼性の低いUDPを利用

• ログの機密性、完全性および可用性を守るための基本的なセキュリティ管理策をサポートしていな
  い

1. syslog を実装するにあたって、アクセス制御もほとんど行われていない

• 攻撃者がこのことを利用して syslog サーバに無意味なログデータを大量に送
  りつけると、重要なログ項目が見落とされたり、場合によってはサービス運用が妨げられたりする可
  能性がある。

1. 暗号化を使用して通信中のログの完全性と機密性を保護できないことである。

• 攻撃者に監視される可能性がある
• 通信中のメッセージが介入者攻撃によって改変または破棄される可能性もある

ログ管理計画

ログ管理ポリシーの策定

1. ログ生成

• 対象ホスト
• 対象ホスト内の対象となる構成要素(OS,ミドル、アプリなど)
• 対象となる構成要素について、対象となるイベントログ
• ログ記録の頻度

1. ログ転送

• 対象となるホストの種類
• 対象イベントログ
• ログ転送方法
• 転送頻度

1. ログ格納および廃棄

• ログローテーション
• ログの保護
• ログの保存期間
• ログの破棄方法

1. ログ分析

• ログへのアクセス制限
• 分析の頻度
• 疑わしいイベントを発見した場合の対応フロー
• 分析結果の保管
• 情報漏洩時の対応フロー

ログ管理の運用プロセス

1. ログ生成元の設定（ログの生成、格納、セキュリティ）
2. ログデータの分析
3. 特定されたイベントへの初期対応
4. ログデータの長期保存の管理

ログのセキュリティ

1. ログファイルへのアクセスを制限する
2. 扱いに注意を要するデータは記録の必要性がない限り記録しない
3. アーカイブしたログファイルを保護する
4. ログ項目を生成するプロセスのセキュリティを保護する
5. ログ記録エラー発生時に適切な動作をするよう各ログ生成元を構成する
6. システムから一元管理ログ管理サーバへログデータを通信するためのセキュリティ保護さ
   れたメカニズムを実装する

ログデータの分析

ログデータの意味を的確に理解するためには

1. ログデータの一部について定期的な（たとえば毎日）レビューおよび分析を実行することである

• ログ項目の平常時のベースラインを把握していくこと

1. 分析プロセスを可能な限り自動化することである

ログ項目の優先順位付け

1. 項目の種類（たとえば、メッセージコード「103」、メッセージクラス「CRITICAL」）
2. 項目の種類の新しさ（これまでにログに記録されたことがある種類かどうか）
3. ログ生成元
4. 送信元または送信先 IP アドレス
5. 時間帯または曜日（項目によっては、特定の時間帯以外に発生してはならないものがある）
6. 項目の発生頻度（x 件が y 秒間に発生など）

ログデータの長期保存の管理

1. アーカイブするデータのログ形式の選定
2. ログデータのアーカイブ
3. 転送したログの完全性の検証
4. メディア保管時のセキュリティ確保

ログ管理インフラストラクチャの監査

セキュリティ目標

1. インフラストラクチャのログサーバは、セキュリティ強化が完全であり、ログ管理のサポート
   に特化した機能だけを実行する。
2. ログを生成するシステムは適切にセキュリティ保護されている（すべてのパッチが適用され、
   不要なサービスが無効になっている）。
3. システムレベルおよびインフラストラクチャレベルのログおよびログソフトウェア（ホスト上お
   よびメディア上とも）に対するアクセスは厳しく制限され、ログおよびソフトウェアの完全性は
   保護および確認される。
4. ログデータに関するすべてのネットワーク通信は、必要に応じて適切に保護されている。

　最後

とりあえず、ここまでです。
監査ログ管理について、何か共有できるものがありましたら、改めてQiitaに投稿します。