サーバのアクセスログ取得・監視は、企業のセキュリティ対策のひとつとして重要です。この記事では、サーバのアクセスログ取得方法を紹介するとともにログ管理システムの重要性、ログ収集の注意点をまとめました。
サーバのアクセスログの取得・監視の必要性
サーバマシンには重要な情報が多く格納されています。特にファイルサーバには、機密情報や個人情報などの重要な情報が保存されており、セキュリティ対策の一環として、アクセスログの収集・監視が必要です。
以前は、アクセスログを適切に管理していなかった企業もありました。しかし情報流出などのトラブルが発生したあとで「問題発生当時のログを保管していなかったので、原因が分からない」という言い訳は、現在では通用しません。
ファイルサーバのアクセスログには、アクセス日時や接続元・接続先のIPアドレス、アクセスしたリソースや操作内容などが記録されます。アクセスログを収集・監視することで、情報漏えいや不正アクセスが発生した場合にも早期発見・早期対策が可能です。
また、ファイルサーバは社外からのサイバー攻撃だけでなく、内部の人間が機密データを盗むこともあるため、内部犯行の抑止も重要です。ファイルサーバのアクセスログを監視していることを社内に宣言すると、内部犯行の抑止にもつながります。
サーバのアクセスログを取得する方法3つ
サーバのアクセスログを取得する方法には3種類あります。それぞれの具体的な方法と特徴、注意点について解説します。
1、クライアント側のログを従業員自身が取得
1つめの方法は、サーバへアクセスするクライアント側のアクセスログを、従業員自身が取得する方法です。Windows10を使っている場合は、Windowsメニューを右クリックして表示される「イベントビューアー」を選び、「Windowsログ」からログをイベントビューアー形式で保存します。
しかし、この方法は従業員が手動でアクセスログ収集を行うため、抜け漏れが発生する可能性があります。さらに、この方法では従業員の内部犯行は防げません。
2、通信パケットをキャプチャして確認
2つめの方法は、通信パケットをキャプチャして、サーバへのアクセスを確認する方法です。この方法なら、自動的に抜け漏れなくアクセスログが取得できます。取得できるログ情報は、アクセス日時、接続元・接続先のIPアドレス、アカウント名、操作名、対象リソースのオブジェクト名などです。
ツールの機能によっては、「稼働状況のモニタリング」や「ファイル・フォルダのアクセス権の設定・変更操作の監視」が可能なツールもあります。ただ、通信パケットをキャプチャするツールは、取り扱いに専門的な知識が必要です。そのためツールを使いこなしてサーバのアクセスログを監視できる人は限られてしまうという点はデメリットとなります。
3、ログ管理システムで監視
3つめの方法は、ログ管理システムを導入してサーバへのアクセスログを収集・監視する方法です。
ログ管理システムを選ぶ最大のメリットは、ログ管理に特化したシステムであり、セキュリティ対策に役立つ機能が豊富に提供されている点でしょう。ログ管理システムの基本機能としては、ログの取得と一元管理、ログの監視や管理者への警告送信などがあります。また、導入・管理しやすい点もログ管理システムの強みです。
システムの導入・運用コストはかかりますが、費用対効果から考えると、ログ管理システムはサーバのアクセスログ管理に最適な方法だと言えます。
ログ管理システムの基本機能4つ
ログ管理システムは、主に4つの機能で構成されています。それぞれ、どのような働きをするのかについて解説します。
1、各種サーバログなど社内のあらゆるログを一元管理
ログ管理システムのメインは、社内外のあらゆるログを収集し、一元管理する機能です。ファイルサーバはもちろんのこと、業務サーバやクライアントPCのログもすべて収集し、従業員が個別にログを収集する手間もかかりません。
収集したログは、ログ管理システムが所定の場所に保存します。一定のサイズになると消去するか圧縮して、ログを格納するハードディスクが満杯にならないよう調整するのもログ管理システムの機能です。
2、取得したログの可視化
ログ管理システムは、取得したログを管理画面などの画面を使って可視化します。
通常、ログファイルの中は1行で1つのログを表現しますが、人の目では非常に理解しにくい状態です。ログ管理システムは、ログ情報にヘッダーをつけてデータ項目を分かりやすく整形し、人間が目視しただけでも理解しやすい形で表示します。
管理画面では、フィルタリング機能を使って必要なログを検索し、エラーなどのログを色分け表示するといった操作も可能です。
ログの可視化機能を駆使することで、ログ調査をより迅速に、スムーズに進められます。
3、ログの分析
ログの分析機能は、ログを集計して、集計結果をグラフなどで表示し、分析を進めやすくする機能です。
グラフ化により、エラーの発生件数やアクセスログの増加傾向などさまざまな情報が把握できるようになり、問題も早期発見しやすくなります。
4、ログの監視および警告
ログの監視と警告の機能は、セキュリティ対策上、重要な機能です。ログを監視することにより、不審なアクセスや操作をリアルタイムに検知できます。
この機能によって、社外からのサイバー攻撃や社内の内部犯行などのセキュリティインシデント発生時も、迅速な対策が可能です。
各サーバのアクセスログ収集時の注意点4つ
各サーバのアクセスログを収集する際は、注意したいポイントが3点あります。実際にアクセスログを収集する前に、どのような点に気をつければよいかを確認してください。
1、各サーバの時刻を合わせる
アクセスログ収集対象のサーバ全てで、システム時刻を合わせておきましょう。サーバマシンの時刻にずれがあると、実際に問題が発生したアクセスログの追跡が困難になります。
他のサーバやクライアント端末のログと突き合わせて調査する場合も同様です。時刻のずれたログだと、ログ同士の対応関係が分からなくなり、処理の流れを追いきれなくなります。
2、ログの監視と警告にすぐ対応できる体制が必要
せっかくログ管理システムを導入しても、アクセスログをただ収集するだけではシステムを導入した意味がありません。ログを監視して、警告が発生したらすぐに対応できる体制作りが必要です。
担当を1人つけるだけでは、ログの監視にも限界があります。チームを組んで監視体制を取るか、監視作業を外出しして、継続的にログの監視と警告対応ができるよう検討しましょう。
3、取得ログの容量管理などのルールが必要
ログ管理システムでは、取得ログの容量管理やログの重要度、定期的に削除するかアーカイブするかといった運用ルールも重要です。保管しておくログの選定やログのファイルサイズ、バックアップファイル数など、取得ログの扱いを決めて手順書を作成し、運用管理のチームでルールに沿った運用をしましょう。
4、導入製品にログ自体の改ざん対策があるか確認
システムに詳しい人の場合、ログ自体を改ざんして証拠を隠滅しようとすることも十分に可能です。ログ管理システムを導入する場合は、収集するログ自体の改ざんを防ぐ機能や、ユーザ管理機能がしっかりしている製品を選びましょう。
各種サーバのアクセスログをログ管理システムで一元管理しよう
各サーバのアクセスログは、ログ管理システムで一元管理し、監視・警告機能を活用することでセキュリティ対策がしやすくなります。サーバへのアクセスログの取得方法はいくつかありますが、ログ管理システムの導入がもっとも合理的です。
ログ管理システムは、多種多様なログに対応可能で、機能が豊富なものほど価格も高くなります。自社ではどのログを優先的に監視したいか、ログ監視に力を入れるか、マーケティングなど他の分野にも活用するかなどを検討して、自社にとって費用対効果の高い製品を選びましょう。
