監査ログをいかに取得し活用するか
はじめに
本連載も第4回を迎えました。今回が最終回になりますが、第1回から第3回までの間、アカウントと認証、権限管理、暗号化といった、データベースの安全性を向上するための施策について解説がありました。これらは予防策であり、事件・事故の発生防止に大きく貢献します。
今回は最終回として、「監査ログ」について説明します。発生した事件・事故内容を正確に検知する「事後対応」の施策として活用するだけでなく、兆候をつかむ事で予防にも役立てる事ができますから、これもセットで対策をする事で相当の安全性が期待できると考えています。ぜひご一読ください。
なお、「DBSCが解説!データベースセキュリティ」というタイトルにもかかわらず、今回はデータベースに割く文字数が少なめですが、データベースのログを取得するだけでは「監査ログ」を活用する事ができないという事をあらかじめご理解ください。
本稿では次の内容を順番に解説します。
- 監査ログ取得にかかわる実態
- 監査ログの定義
- 監査ログ取得の必要性
- 監査ログの取得方法(データベースの例)
- 監査ログの管理方法
監査ログ取得にかかわる実態
早速ですが、皆さんがお使いのシステムでは監査ログを取得していますか?というのも、著者がセキュリティにかかわる相談を受ける際、監査ログの話題に触れる事もありますが、あまり本腰を入れて取り組んでいる会社にお会いする事がありません。金融業など一部の業界、または過去に従業員(派遣社員・委託先要員を含む)が内部から不正に情報を持ち出してニュースになるといった「痛手」を負った会社ではログをガチガチに取得しているという話を聞くものの、それらは例外的な事例のようです。
監査ログにかかわる企業の実際にありがちな反応は、以下のような内容が多く感じられます。
- 監査ログを取得する必要性が分からない
- 監査ログは発見的対策であり、防止策よりも優先順位が低い(だから取得していない)
- どのログを取得すれば良いか分からない、または保管期間が分からない
- 取得したログを分析する頻度や方法が分からない
- ログは取得しているはずだ
「1.」と「2.」からは監査ログ取得の必要性を十分に理解していない事、「3.」と「4.」からは取得・保管・チェックといった監査ログを用いた活用が難しいと考えている事が伺えます。また、取得範囲と保管期間の積算が保管容量となりストレージコストに反映されますから、コスト面についても懸念があるようです。そして、「5.」は一見すると望ましい対策を採っているように見えますが、ログは取っているものの監査ログを取る設定にしていないというケースがあります。この点は、後ほど「監査ログの定義」でご説明します。
次に、DBSC発行の「データベースセキュリティ安全度セルフチェック統計データ」から、監査ログの取得を含む、セキュリティ対策を実施しているかどうかについての状況を紹介します。
| 初期設定 | アカウント 管理 |
アクセス 制御 |
暗号化 | 外部媒体・ 端末の 利用制御 |
その他、 各種規制 |
ログ | |
|---|---|---|---|---|---|---|---|
| 医療、福祉 | 58.3% | 63.9% | 65.3% | 61.1% | 70.0% | 73.1% | 75.0% |
| 飲食店、宿泊業 | 12.5% | 6.3% | 0.0% | 0.0% | 10.0% | 8.3% | 0.0% |
| インターネット付随サービス業 | 54.5% | 47.7% | 46.6% | 28.2% | 48.2% | 43.9% | 50.0% |
| 運輸業 | 40.0% | 22.5% | 30.0% | 28.0% | 40.0% | 30.0% | 20.0% |
| 卸売・小売業 | 27.8% | 36.1% | 50.0% | 17.8% | 55.6% | 38.9% | 33.3% |
| 教育、学習支援業 | 61.1% | 37.5% | 94.4% | 13.3% | 91.1% | 61.1% | 50.0% |
| 金融・保険業 | 43.8% | 38.8% | 58.0% | 19.3% | 57.1% | 54.8% | 42.9% |
| 建設業 | 58.3% | 47.9% | 25.0% | 10.0% | 46.7% | 22.2% | 41.7% |
| 鉱業 | 25.0% | 37.5% | 50.0% | 0.0% | 40.0% | 0.0% | 25.0% |
| 情報サービス(ソフトウエア、情報処理) | 39.5% | 36.3% | 38.7% | 18.7% | 51.0% | 38.2% | 30.6% |
| 情報通信業 | 43.8% | 31.3% | 46.9% | 12.5% | 45.0% | 37.5% | 43.8% |
| 製造業 | 41.3% | 35.9% | 67.4% | 4.3% | 71.3% | 55.1% | 38.0% |
| 政府、行政 | 75.0% | 47.5% | 70.0% | 24.0% | 76.0% | 55.0% | 60.0% |
| 電気・ガス・熱供給・水道業 | 18.8% | 28.1% | 12.5% | 0.0% | 60.0% | 25.0% | 43.8% |
| その他 | 50.0% | 50.0% | 0.0% | 0.0% | 60.0% | 50.0% | 50.0% |
この統計を見ると、監査ログの取得は「アカウント管理」や「暗号化」などと比べても実施率に大きく違いがない事から、実際には取り組みが進んでいるように見えます。ただし、前述した企業の反応を考えると、きちんとした対策がとられているかどうか、見直す必要があるかも知れません。
