ログの改ざん防止はどうやって行えばいい？役に立つツールもご紹介！

ログの改ざんはどのように行われる？

サイバー攻撃を実施する攻撃者にとって、自身のログが残るのは大きな脅威です。したがって、ログの改ざんを行い、攻撃の痕跡を消そうと考えます。その際に狙われるのは、主にアクセスログとコマンド実行履歴です。

アクセスログは、いつ誰がアクセスしたかを記録したものです。管理者がこのログを確認した際、不審なアクセスログが残っていたら怪しまれます。そこで、攻撃者はコマンドや専用ツールを用いて自身のログを削除します。

また、コマンド実行履歴は攻撃者にとって、不正に実行したコマンドの記録が残る厄介な存在です。したがって、テキストエディタなどを用いて履歴を改ざんします。

一度削除・改ざんされたログを復元するのは困難です。被害者は自身が被害にあったことを証明できず、原因の究明も難しくなります。そのため、セキュリティ対策においてログ改ざんの防止は重要な要素と言えます。

ログ改ざんを防止するための考え方は？

ログの改ざんを防ぐには、まずログへの不正アクセスを防がなければなりません。そのため、ログは記録対象であるサーバではなく、別のサーバに送って保存したほうが安全です。記録対象のサーバが攻撃され、操作権限を奪われても、別の場所にログを保存していれば改ざんされずに済みます。

また、管理者が異なるサーバにログを転送するようにしておけば、管理者自身による改ざんも防げるため、内部統制の観点からも有効です。

一方、万が一改ざんされた際に、そのことを検出できる体制も必要です。たとえば、ログを複数のサーバで管理しておけば、そのうちの一部が改ざんされても対処できます。

ログの改ざん防止に役立つツールは？

続いて、ログの改ざん防止に有効なツールを紹介します。

SIEM

SIEMは「Security Information and Event Management」の略で、さまざまなログを一元管理するシステムです。ネットワーク機器やセキュリティ機器、ソフトウェアなどのログを収集・分析します。

SIEMの最大の魅力は、分析までを行ってくれる点です。単にログを保管するだけなら他のツールでも対応できますが、その場合は分析を人間の手で行わなければなりません。SIEMならばその大きな手間を排除できます。

リアルタイムなログの取得と分析の結果、何らかの異変が検出されたら、SIEMは速やかに管理者に通知します。人間と違い、膨大なログがあっても重要な記録を見落とすことはありません。広範囲かつ高精度で機器やシステムを見守ってくれる監視員のような存在と言えるでしょう。

ログ管理システム

ログ管理システムは、ログを保管し改ざんから守るシステムです。データ通信やコンピュータの利用状況などをログとして収集します。

ログを守るための機能を豊富に備えているのが特徴です。たとえば、取得したログは暗号化された状態で保管されるため、万が一第三者に盗まれても中身を知られずに済みます。また、改ざんされた形跡が見つかったらアラート機能で管理者に知らせてくれます。

そのほか、ログを管理・確認する機能も豊富です。たとえば、ログの名称や種類、記録日時などを指定することで、膨大なログの中から目的のものを検索できます。

IDS・IPS

IDSは「Intrusion Detection System」の略で、日本語に訳すと「不正侵入検知システム」となります。また、IPSは「Intrusion Prevention System」の略で、日本語では「不正侵入防止システム」です。これらは、検知して知らせるだけか、防止までしてくれるのかという違いはありますが、いずれも不正侵入を防ぐためのシステムです。

これらのシステムを使えば、ログにアクセスされそうになっても速やかに対処できます。また、攻撃者がログを消さなければならなくなる以前の不正アクセスも防げます。ここまで紹介したシステムとは異なり、ログの保護そのものではなく、不正侵入を防ぐことに特化したツールと言えるでしょう。

ログの改ざん防止を実現し、セキュリティを向上させよう！

攻撃者は自身の痕跡を消すため、ログの改ざんを試みます。その改ざんを許してしまうと、被害者は被害に遭ったことに気づけません。もし気づけたとしても、証明できないのが問題となります。そのため、ログの隔離や専用ツールの活用により対策する必要があります。

ログ改ざん防止に有効なツールは以下のとおりです。

• ■SIEM
• ■ログ管理システム
• ■IDS・IPS

以上を踏まえ、ログ改ざん防止に努めましょう。