ログ管理の最新動向と クラウドサービスへの対応

Transcription

1 マイナンバー対策で求められる 現実的なログ管理とは 2015年7月9日 インフォサイエンス株式会社 プロダクト事業部 Infoscience Corporation Tel: Fax:

2 Contents 1. インフォサイエンスのご紹介 2. 情報セキュリティとログ 3. マイナンバーとログ 4. 過去の情報漏えい事件から見るログ管理の現実解 5. 統合ログ管理システム構築

3 インフォサイエンス株式会社 概要 設立 1995年10月 統合ログ管理システム Logstorage 導入社数 1,800社 8年連続 シェアNo.1 代表者 宮 紀雄 資本金 1億円 事業内容 パッケージソフトウェアの開発 データセンタ運営 受託システム開発サービス 包括システム運用サービス 所在地 東京都港区芝浦2丁目4番1号 インフォサイエンスビル その他 (2.2%) E社 (3.5%) D社 (5.3%) C社 (7.9%) B社 % A社 21.2 出典 ミック経済研究所 情報セキュリティソリューション市場の現状と将来展望2014(統合ログ管理市場)

4 情報セキュリティとログ

5 ログ管理の目的 様々なルールや脅威への対応のために ログの管理が行われている 個人情報保護法 金融商品取引法(IT全般統制) マイナンバー/番号法 経産省/クラウドセキュリティガイドライン サイバーセキュリティ基本法 不正アクセス禁止法 ISO27001/ISMS プライバシーマーク APT/標的型攻撃 外部脅威 PCI DSS 個人情報 機密情報漏えい 内部犯行 情報セキュリティの最後の砦であるログ管理は あらゆる法令 ガイドラインで対応が求められている 不正抑止 予兆検知 事後調査 情報セキュリティに於けるログ管理 3つの目的

6 マイナンバーとログ

7 マイナンバー マイナンバーとは 2015年10月より 住民票を有する者全てに 12桁の番号 マイナンバー の通知が行わ れ 2016年1月より 各種行政手続きでマイナンバーの利用が開始される 行政機関や地方公共団体等で 社会保障 税 災害対策 の分野で保有する個人情 報とマイナンバーとを紐づけて効率的に情報の管理を行い さらにマイナンバーを活用し て 同一の者に関する個人情報を他の機関との間で迅速かつ確実にやり取り 情報連携 することが可能になる 特定個人情報の適正な取扱いに関する ガイドライン(事業者編) 特定個人情報保護委員会 (平成26年12月) 講ずべき安全管理措置の内容 Ａ 基本方針の策定 Ｂ 取扱規程等の策定 Ｃ 組織的安全管理措置 Ｄ 人的安全管理措置 Ｅ 物理的安全管理措置 Ｆ 技術的安全管理措置 特定個人情報の適正な取り扱いに於いても ログ管理は極めて重要 7

8 講ずべき安全管理措置の内容 C 組織的安全管理措置 ログのモニタリングによる アクセス状況の把握 情報漏えい時の追跡 ｂ 取扱規程等に基づく運用 取扱規程等に基づく運用状況を確認するため システムログ又は利用実績を記録する 手法の例示 事務取扱担当者の情報システムの利用状況 ログイン実績 アクセスログ等 の記録 ｃ 取扱状況を確認する手段の整備 D 人的安全管理措置 ｄ 情報漏えい等事案に対応する体制の整備 ログの監査による 不正抑止 ａ 事務取扱担当者の監督 事業者は 特定個人情報等が取扱規程等に基づき適正に取り扱われるよう 事務取扱 担当者に対して必要かつ適切な監督を行う F 技術的安全管理措置 ログの監視による 外部脅威対策 ｃ 外部からの不正アクセス等の防止 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを 導入し 適切に運用する 手法の例示 ログ等の分析を定期的に行い 不正アクセス等を検知する 8

9 マイナンバーとログモニタリング マイナンバー対策に於けるログのモニタリングポイント 特定個人情報利用区域 特定個人情報 データベース アクセスログ 運用担当者PC PC操作ログ 特定個人情報 特定個人情報 帳票出力 操作 入退室ログ 特定個人情報 人事 経理担当者PC 人事給与システム PC操作ログ システム利用ログ ファイルサーバ ファイルサーバ アクセスログ モニタリング対象ログ ログ モニタリングの対象は人事給与システムだけではない 9

10 特定個人情報に対するアクセス監査 統合ログ管理システムによるアクセス監査 特定個人情報に対するアクセスログを一元管理し モニタリングする事で不正に対する 抑止効果を発揮すると共に 特定個人情報が適切に扱われていることを証明する データベース 入退室管理 ログ 人事給与システム ファイルサーバ ログ ログ 運用担当者PC データベース ログ 統合管理されたログ 改ざん検出 横串 横断検索 ログ ログ ログ ログを可視化 モニタリングするための仕掛け 高圧縮保管 人事 経理担当者PC アクセス制限 ログ分析 グラフ化 統合ログ管理システム 自動レポート出力 リアルタイムアラート

11 過去の情報漏えい事件から見るログ管理の現実解

12 情報漏えい事件とログ 漏洩企業 事件発覚 漏洩件数 犯人 事件後の対応策 ログ関連 A社 2007年 863万件 業務委託先の社員 ログのチェック頻度を高める B社 2009年 148万件 社員 (システム部の部長代理) 顧客情報検索のログデータの監視 顧客情報へのアクセ スログの検証強化 C社 2014年 2,070万件 業務委託先の社員 アクセスログの監視設定の強化 定期チェック [共通点] - 犯人は漏洩したデータに対してアクセス権限を持っていた - 犯人は情報を外部記憶媒体に保存して持ち出した (CD-R, USB接続の記 憶媒体など) - 犯人は金に困っていた - ファイルサーバやデータベースアクセス等のログは取得されていたが 顧客から問合せがあるまで犯行を見つけることができなかった - 事件後 対策の1つとしてログの監視強化を挙げる

13 内部漏洩の典型例 典型的な例 モニタリング されていない 流出経路 PC Mail Server Web Proxy Server 印刷 複合機 守るべき情報の所在 ログ送信? ログ送信 ログ管理システム 持出し データベース 参照 外部記憶媒体 デバイス制御を過信 File Server DB Server 作業員 アクセス権限有り ログをそもそも見ていないか ログを見るルール 基準を持っていない その結果 抑止 が効かない

14 不完全な 抑止効果 B社 記者会見でのやりとり Q. 情報をログで管理してチェックすればもっと早く不自然な情報の取得に気付くことができた のでは A. 権限を持った者が決まった方法を装って行った場合には 異常を知らせるサインは出なかっ た お客様から問い合わせが何件も重なり始めておかしいと気づいた Q. すべての情報をCDにコピーしたのは 不自然な行為ではなかったのか A. 結果としては不自然な行為だったが 絶対にないかと言われれば ない行為ではない それだけを取り上げて変な行動だと気がつくというのは 管理の問題なのか調査中 C社 犯人の犯行 供述 データベースに直接アクセスせず 複数のサーバーを経由して顧客情報をコピーした データベースにアクセス出来る権限は犯人を含め数人しかいなかったが 経由したサーバには 数百人がアクセス可能だった 犯人 ばれないと思った どちらの企業もログ管理は行っていたが 抑止 が効いていない

15 住基ネット不正利用とモニタリング 事件の概要 住基ネット不正利用とモニタリング I市 市民部市民課の職員(50代)が 業務とは関係なく住基ネットを利用し 自らがファンである 有名タレントの情報を検索 約2時間後 全国の住基ネットシステムを管理するセンターからタレントに 関する情報検索があったとの通報があったため発覚 その後 職員は懲戒処分 を受ける 職員 魔が差した N市 市民課の支所の職員(30代)が 業務とは関係なく住基ネットを利用し 有名人2人の情報を検索 翌日 全国の住基ネットシステムを管理するセンターから著名人に関する情報 検索があったとの通報 があったため発覚 その後 職員は懲戒処分を受ける 市が過去の記録を調査したところ 別の職員(60代)の不正利用(友人10人の情 報検索)も発覚 2人の職員 端末を操作する機会がなく 練習した 完全な ログのモニタリングは不可能 しかし モニタリングしている 事実を継続して示す事により 抑止効果を高めていく他無い

16 内部漏洩 ログ管理の現実解 ログモニタリングの対象を絞り 抑止 に重点を置く 事後調査 のために 必要なログは全て取っておく必要がある しかし 全てのログをモニタリングするのは不可能 データを持ち出すのは 権限を持っているユーザ モニタリング対象を 権限を持つユーザに絞る システム担当とモニタリング セキュリティ 担当は分ける 一発アウトのログだけではなく 業務上発生し得ても漏洩リスクのあるログ も捕捉する ログを捕捉したら当該社員に確認を取るなどして 抑止 を図る ログモニタリングは性悪説に立った社員の監視 企業の機密情報やマイナンバーなど 社内にはカネになるデータが溢れている 抑止により 魔が差す ばれないと思われる 状況を無くす 社員の潔白を証明することにもなる

17 予兆 を見つけ 抑止 を効かせるログ管理 アクセス権を持つ者に対するログのモニタリング例 予兆 を見つけ 抑止 を効かせるログ管理 アクセス件数の閾値設定 - データベースからの取得行数のチェック 相関 チェック - 個人情報が含まれるファイルに対するアクセスを 個人情報件数でチェック 外部への情報持ち出し - USB接続ログのチェック - 添付ファイル付きメール送信ログのチェック - 外部アップロードログのチェック このフローを仕組みとして作る ルール設定 ログの自動チェック 申請データとログの突き合わせ NG ルール改善 - 申請外のアクセスが無いかチェック チェックNGユーザ に対するヒアリング

18 統合ログ管理システムの構築

19 統合ログ管理システム構築の基本 ログ管理の前にやっておくべきこと 守りたい情報が何で どこにあるのかを明確にすること 守りたい情報に対し アクセス権の管理を行うこと ログモニタリングの目標 策定したルールとログを自動的に突き合わせ チェックしていく仕組み (予兆検知と不正抑止) インシデント発生時の迅速なログ追跡 (事後調査) 適切なログモニタリングを実現するために解決すべき課題 ログを 読める ものにする フォーマットの異なるログの形式を吸収する ログに不足している情報を付加する

20 統合ログ管理システム Logstorage ログ収集機能 [受信機能] Syslog / FTP(S) / 共有フォルダ / SNMP [ログ送信 取得機能] Logstorage Agent Logstorage EventLogCollector Logstorage SecureBatchTransfer ログ保管機能 ログの圧縮保存 高速検索 ログの改ざんチェック機能 ログに対する意味 タグ 付け ログの暗号化保存 保存期間を経過したログを自動アーカイブ ログの保存領域管理機能 ログ検知機能 ポリシーに合致したログのアラート ポリシーはストーリー的に定義可能(シナリオ検知) <Logstorage システム構成> 検索 集計 レポート機能 ログの検索 集計 レポート生成 検索結果に対する クリック操作による絞込み レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)

21 ログ収集実績 日本国内で利用されているものを中心に250種類以上のログ収集実績 ログ収集実績 OSシステム イベント Windows Solaris AIX HP-UX Linux BSD Logstorage アライアンス製品 連携パック Palo Alto Networks next-generation firewalls SecureCube / AccessCheck LanScope Cat Amazon Web Service (CloudTrail/Config その他) CWAT Sendmail InfoTrace Auge AccessWatcher MylogStar PISO i-filter IVEX Logger シリーズ SecurePrint! MaLion Chakra Max VISUACT SSDB監査 File Server Audit AUDIT MASTER 監査れポータル クライアント操作 LanScope Cat InfoTrace CWAT MylogStar IVEX Logger MaLion3 秘文 SeP QND/QOH サーバアクセス ALogコンバータ VISUACT File Server Audit CA Access Control Web/プロキシ Apache IIS BlueCoat i-filter squid WebSense WebSphere WebLogic Apache Tomcat Cosminexus データベース Oracle SQLServer DB2 PostgreSQL MySQL ICカード認証 SmartOn ARCACLAVIS Revo データベース監査ツール PISO Chakra SecureSphere DMG/DSG SSDB監査 AUDIT MASTER IPLocks Guardium 運用監視 Nagios JP1 Systemwalker OpenView アンチウィルス Symantec AntiVirus TrendMicro InterScan McAfee VirusScan HDE Anti Vuris Lotus Domino Lotus Domino Notes AccessAnalyzer2 Auge AccessWatcher 複合機 imagerunner Apeos SecurePrint! ネットワーク機器 Cisco PIX/ASA Cisco Catalyst NetScreen/SSG PaloAlto PA VPN-1 Firewall-1 Check Point IP SSL-VPN FortiGate NOKIA IP Alteon SonicWall FortiGate BIG-IP IronPort ServerIron Proventia メール MS Exchange sendmail Postfix qmail Exim その他 VMware vcenter SAP R/3 (ERP) NetApp (Storage) EMC (Storage) ex-sg (入退室管理) MSIESER isecurity Desk Net s HP NonStop Server その他

22 ログの可視化 Windowsイベントログ Logstorage 機能 EventLogCollector Windowsイベントログの例 人間が読んで理解できる形式への変換が必要 日時 サーバ名 アクション ドメイン名 ユーザ 接続元ホスト名 接続元IPアドレス 成功 失敗 :00:00 FS01 ログオン ローカル認証 infoscience yamada 成功 :00:00 FS01 ログオン リモート認証 infoscience yamada YAMADA-WORK 成功 日時 サーバ名 アクション ドメイン名 ユーザ ファイルパス ファイル名 成功 失敗 :00:00 FS01 ファイル読み込み infoscience yamada D: common 顧客リスト.xls 成功 :00:00 FS01 ファイル書き込み infoscience yamada D: common 顧客リスト.xls 成功 :00:00 FS01 ファイルリネーム infoscience yamada D: common コピー 顧客リス ト.xlsx

23 ログに足りない情報を足すという考え方 ログの可視化 外部データとの連携 活用例 Logstorage 機能 外部マスタ連携 組合わせるデータ 部署毎のログ分析 部署マスタ ログ中のコード/IDと メッセージの対応付け コードマスタ 機器によるユーザID体系の 違いを吸収 統合IDマスタ アクセス先Webサイトの カテゴリ分析 URLカテゴリ DB アクセス元の 国の分析 GeoIP アクセス元の 脅威の分析 脅威DB 外 部 デ ー タ 連 携 ログ 様 々 な ロ グ デ ー タ

24 ログの追跡 ログに対する意味づけ タグ付け ログの追跡 Logstorage 機能 ログフォーマット定義 入退室 1,カード認証OK,2014/6/15 08:56,yamada 山田 太郎,ｶｰﾄﾞ操作記録,ｶｰﾄﾞ:施解錠状態,( )(扉1-1),解錠 入室 PC認証 2014/06/15 08:58:27,2131,0,yamada, ,PC01, ,SMO01.local,Windowsにログオンしました DBアクセス "ora104"," ", yamada","root","oracledbcollect",28,"localhost.localdomain","",10,29177,"query"," :04:10"," :04:10",0," :04:10",1,0,0,2,2,223,486,"select * from user where userid= admin' and password="***** ファイルサーバアクセス :16:20 EventLogCollector: write yamada C: Data list.txt 成功 メール送信 qmail: June 15 15:18: qmail: [ID mail.info] info msg : bytes from <yamada@example.com> qp 2924 uid 7791 ログ項目に対して タグ 付けを行うことで 異なるフォーマットのログを横断的に扱う

25 ログの追跡 いつ? 誰が? どうした? 何処で?/何に対して? 統合ログ管理システムの導入により 手間のかかるログ収集 管理基盤 を迅速に構築し モニタリング ルールの作成に注力する

26 ログの突合レポート ログデータとルール 基準の突合せ 他にも下記との突合がある しきい値 ログの組合せルール セキュリティポリシー 申請データとアクセスログの突合せ例 ログデータ マスタデータ 作業申請 システム ユーザID 作業開始時間 作業終了時間 SystemA suzuki 2012/03/21 10:00: /03/21 12:00:00 突合 時刻 ｱｸｼｮﾝ ユーザID 2012/03/21 13:12:31 ログオン yamada 2012/03/21 14:49:35 ログオフ yamada 2012/03/21 10:31:23 ログオン suzuki 2012/03/21 12:38:21 ログオフ suzuki 突合レポート(Logstorageにより自動出力) システム ユーザID 作業開始時間 申請 作業終了時間 申請 ログオン時間 ログオフ時間 判定結果 SystemA yamada 申請なし 申請なし 2012/03/21 13:12: /03/21 14:49:35 SystemA suzuki 2012/03/21 10:00: /03/21 12:00: /03/21 10:31: /03/21 12:38:21 こうした突合せを自動的に実行 レポートすることにより ログのモニタリングを確実に 継続的に行うことが可能になる 21

27 END マイナンバー対策で求められる現実的なログ管理とは 2015/7/9 インフォサイエンス株式会社プロダクト事業部稲村大介 27