SEノウハウ モニタリング編(機密性、完全性、可用性、サイバー等): Ver1.0
価格: ¥0
SEノウハウシリーズの『モニタリング編』です。
SEノウハウシリーズとは、企業におけるIT構築・導入・運用や、IT管理において実際のノウハウを記した書籍です。
【目次】
1 モニタリング
1.1. 準備
1.1.1. 用語
1.1.2. モニタリングが必要になる経緯
1.1.3. 本書の前提(体制・役割)
1.1.4. 本書の前提(ログ管理)
1.2. モニタリングの対象の決定
1.3. モニタリング業務
1.3.1. 【共通】入退室管理
1.3.2. 【共通】認証監視
1.3.3. 【共通】DBにかかわるモニタリング
1.3.4. 【共通】ファイルサーバーにかかわるモニタリング
1.3.5. 【観点別】機密性モニタリング
1.3.6. 【観点別】完全性モニタリング
1.3.7. 【観点別】可用性モニタリング
1.3.8. 【観点別】サイバー攻撃モニタリング(DoS攻撃/DDoS攻撃)
1.3.9. 【観点別】サイバー攻撃モニタリング(標的型攻撃)
1.3.10. 【観点別】リモートアクセスモニタリング
1.3.11. 【その他】モニタリング
1.4. モニタリングレポート
1.5. 【定期】モニタリングの変更
1.6. システム化について
1.6.1. システム化の問題点
1.6.2. システム化の留意点
1.6.3. その他
【冒頭(抜粋)】
1.モニタリング
モニタリングとは、ログ保管サーバーに収集した各種ログを横断的に確認し、情報漏えい、改ざん、障害、サイバー攻撃、不正アクセス等を検知し、また、利用状況等をレポートに纏め改善を施す業務である。
モニタリングのイメージを掴むために、身近な1例を挙げたい。
<モニタリング例 クレジットカードの不正検知>
クレジットカードで、普段の利用と異なる高額な利用があった際には、クレジットカード会社から、本人による利用なのか確認の電話がかかってくることがある。
これを実現するためには、クレジットカード会社は、日頃から個人毎の利用傾向の把握、カードを利用したロケーション(場所)情報等を蓄え、普段とは異なる「不正の疑いのあるカード利用」を複合的に検知し、電話連絡・確認をとおして、不正なカード利用を早期に発見している。
このように、モニタリングはリスクを検知し、リスクの低減(もしくは、リスクの解消)に繋げることが出来る。企業のITにかかわるリスク対策全般について、ポリシー・手続き等のルール面を制定し、併せて、そもそも、不適切な操作自体ができないようにシステムで制限をかけておくことが基本である。しかし、完全な対策を施すことが出来ず、残る「残存リスク」については、モニタリングを入れ、リスクの解消・低減を図る必要性が生じる。つまり、モニタリングは、対策における最後の砦である。
しかし、収集したログを活用するための適切なモニタリング業務がなければ、ログの価値は大幅に低下するものであり、本書は、モニタリングを確実に実行するためのノウハウである。
<ログの活用レベル>
ログを如何に活用するか、ユーザー企業によって、活用レベルは様々である。例えば、単にログを蓄え、インシデント発生時の調査を目的とし、有事の際に参照するレベル(LV1)のものから、定期的にログ確認を行うレベルのもの(LV2)、また、ログの分析・調査作業を日常的な業務として積極的に実施することによって、問題を検知、早期対策に繋げるレベルのもの(LV3:モニタリング)まである。
LV1:事故後の活用(ログの蓄積)
OSやアプリケーション等のログを記録し、いつ、誰が、何をしたのかのログを(単に)保管する。このログは、不正アクセス等のインシデント発生時に、原因調査に利用することが出来る。
‐機密性
システムやデータへのアクセス状況をログに記録しているため、万が一情報漏えいが発生した場合でも、ログを調べることにより、原因の究明に活用が可能である。
‐完全性
操作履歴をログに記録しているため、改ざんが発生した際に、事後的な原因分析に活用が可能である。
‐可用性
障害時のエラー状況をログに記録しているため、障害の原因分析に活用し、正確で素早い対処と復旧が可能である。
‐副次的な効果
ログを取っていることで利用者への牽制機能と言った副次的な効果を期待出来る。ただし、牽制が機能するのは、証拠となる本人の確認が行われることによって、「不正行為を行なった場合に本人が行ったと言うことが発露する」と言う部分の抑止力である。つまり、権限を持った人間が、“捨て身”で不正行為を行った場合は抑止力とはならない部分があることに留意が必要である。
‐その他
・ログは、サイバー攻撃、不正アクセスを受けた際の原因分析等に利用することが出来る
・監査や内部調査の補助として利用することが出来る
・法令・規制を順守するために、ログを保管することがある
LV2:定期的なログ活用
LV1に加え、定期的(例:1週間に1度)にログを、確認することによって、不正等のインシデントを検知することが出来る。この場合、問題が発覚する前に検知することが出来る可能性がある。
また、監査やフォレンジック(犯罪捜査や法的紛争等で、ログをもとに、その法的な証拠性を明らかにする手段や技術の総称)にログを活用することが出来る。
LV3:積極的な活用(:モニタリング)
LV2に加え、ログをINPUT情報とし、通常業務としてモニタリングを行うことで、様々な問題を明らかにしたり、問題になる前に対策を打ったりすることが出来る。
・ポリシー違反
・不正行為・その疑い
・システム障害・その兆候
・運用上の問題
1.1.2.モニタリングが必要になる経緯
モニタリングには、残存リスクの解消(もしくは、リスクの低減)と言う本質的なメリットがあるが、外的な要因により実施する必要性が生じる経緯としては、以下のとおりである。
〇情報漏えい事故
2000年頃の個人情報漏えい事故を受けて、多くの企業がセキュリティ対策としてログ管理・モニタリングを重視するようになった。
〇個人情報保護法(改定前)
「個人情報の保護に関する法律」は、2005年4月に全面施行した。対象は、5,001件以上の個人情報を所持している事業者である。
〇J-SOX
J-SOX(内部統制報告制度)は、頻発する粉飾決算の対策として、2009年3月期決算から上場している会社が事業年度ごとに、「内部統制報告書」を有価証券報告書と併せて内閣総理大臣に提出することを義務付けたものである。J-SOXは、主として財務・会計の活動に適用されるものであるが、それらを支える情報技術(IT)機能も対象となる。ログを定期的にレビューして、ポリシー違反の検知や、監査に備えてレビュー記録を保管しておくことが、J-SOXに対応していることの根拠となる。
〇マイナンバー制度
2016年1月からマイナンバー制度が施行された。その特長は、規模の大小にかかわらず全ての事業者が対象であることである。(マイナンバーをクラウドで管理すると言う手があるが、)全ての事業者が従業員のマイナンバーを管理しなければならない。
〇個人情報保護法(改定後)
個人情報保護法は改正され、2017年5月30日に全面施行する予定である。“対象の5,001件以上”は撤廃され、個人情報を保有する全ての事業者に適用される。
個人情報保護法では、安全管理措置が義務付けられ、モニタリングは、安全管理措置の内、「技術的安全管理措置」の「情報システムの監視」への対策となる。