2025.12.24
ログ分析とデジタルフォレンジックス(1/2)
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
今回は、サーバやネットワーク機器、セキュリティ機器等の各種ログの概要やログ分析の必要性や実施例等について解説します。
●ログ分析の概要
ITシステムから出力される各種ログは、OS、アプリケーション、通信機器などが、その稼働状態、処理の実行状況、障害・異常の発生状況等を示す記録です。
出力されたログを分析し、その結果に基づいて対応することで、サイバー攻撃の発生を検知して早期に対処したり、将来的に発生する可能性のあるインシデントを未然に防いだりすることも可能となります。
一般的なIT環境における主にログを表に示します。ただし、実際に出力されるログの種類や内容についてはログの出力元であるサーバやセキュリティ製品の設定によります。
主なログの種類と概要
| 主なログの種類 | 概要/説明 | |
|---|---|---|
| OS が出力するログ | UNIX システムログ | Linux に代表される UNIX 系 OS が出力するログであり、ログイン、プロセスの起動/終了、コマンド実行等が記録される |
| Windows イベントログ / PowerShell ログ | Windows 系 OS が出力するログ。アプリケーションの起動・停止、ログイン、ネットワークへの接続、システム設定の変更等、各種イベントの発生状況や PowerShell の実行履歴等が記録される | |
| 一般的なサーバソフトが出力するログ | Web サーバアクセスログ | Web サーバが出力するログであり、各クライアントからのアクセス履歴が記録される |
| プロキシサーバログ | プロキシサーバが出力するログであり、内部ネットワークからインターネット上の Web サイトへのアクセス履歴等が記録される | |
| DNS クエリログ | DNS (Domain Name System) サーバが出力するログであり、名前解決要求の履歴が記録される | |
| ファイルサーバログ | ファイルサーバが出力するログであり、サーバ内のフォルダやファイルへのアクセス履歴、操作履歴等が記録される | |
| ディレクトリサーバ/認証サーバログ | Windows 環境におけるActive Directory 等のディレクトリサーバや認証サーバが出力するログであり、ログインの成功、失敗、権限昇格等の履歴が記録される | |
| DB ログ | DBMS(Database Management System)が出力するログであり、DBへのアクセス履歴、操作履歴等が記録される | |
| セキュリティ関連製品が出力するログ | ファイアウォールログ | ファイアウォールが出力するログであり、通信パケットの接続許可(Accept)、破棄(Drop)、接続拒否通知及び破棄(Reject)の履歴やファイアウォールの稼働状況等が記録される |
| IDS/IPS ログ | IDS(Intrusion Detection System:侵入検知システム)/IPS(Intrusion Prevention System:侵入防御システム)が出力するログであり、検知/遮断した攻撃や不審なアクセスの履歴が記録される | |
| AV ログ | AV(Anti-Virus)ソフトが出力するログであり、マルウェアの検知、駆除等の履歴が記録される。各PCで出力されたログはAV管理サーバに集約される仕組みになっている製品が多い | |
| EDR ログ | EDR(Endpoint Detection and Response)製品が出力するログであり、PC、サーバ等のエンドポイントで発生している事象(プロセス生成、ファイル操作、レジストリ更新、ネットワーク接続等)が記録される | |
| VPN ログ | VPN(Virtual Private Network)機能を提供する機器が出力するログであり、当該機器へ接続した端末のIPアドレス、認証の成功/失敗の履歴等が記録される | |
| その他 | クラウドサービスログ | 各種クラウドサービスで出力されるログであり、アクセス履歴、ログインの成功、失敗、操作の履歴等が記録される |
●ログ分析による効果と分析例
ログの分析により、次のような事象を早期に発見することが可能となります。
仮に早期発見ができなくとも、ログはセキュリティインシデントが発生した場合に状況の調査や原因究明を行うための重要な証拠データとなるため、適切に出力・保存する必要があります。
①内部ネットワークからインターネットへの不審なファイルの送信
・プロキシサーバのログから、業務時間外等にサイズの大きなファイルを送っている通信を抽出し、その通信を行っていたPC等の操作内容と突合し、正当なものであるかどうかを確認する。
・ファイアウォールのログから、内部ネットワークからインターネットへの通信でDrop, Rejectされているものを抽出し、それらが正規の利用者によるものであるかを確認する。
・クラウド上の外部ストレージサービスのログから、大量もしくはサイズの大きなファイルを送っている端末/ユーザを抽出し、正当なものであるかを確認する。
②内部に侵入したマルウェア等による不審な通信
・プロキシサーバのログから、一定間隔で特定のサイトに同じサイズのファイルを連続して送っている通信等を抽出し、その通信を行っていたPC等の操作内容と突合し、正当なものであるかどうかを確認する。
・Active Directoryサーバのログから、ドメイン管理者の権限でアクセスしている不審な通信や、連続したログイン失敗、ログの削除等の履歴を抽出し、それらが正当なものであるかを確認する。
・DNSクエリログの内容(リクエスト内容や頻度等)から、マルウェアによる不審な通信が疑われるものを抽出し、正当なものであるかを確認する。
・ファイルサーバのログから、業務時間外等に頻繁にファイルにアクセスしている端末/ユーザを抽出し、それらが正当なものであるかどうかを確認する。
③システム管理者の認識していない設定変更
・サーバのOSログから、システム管理者の権限で実行された操作履歴やPowerShellの実行履歴等を抽出し、それらが正当なものであるかを確認する。
④インターネットからの不正アクセスやその試み
・IDS/IPSのログやアラートから、不審なコマンドの実行やサイバー攻撃が疑われる通信を確認する。
・VPNのログから、海外から連続してログインに失敗しているIPアドレスや、長時間接続しているユーザ等を抽出し、それらが正当なものであるかを確認する。
●ログ分析における留意点
ログはあくまでもシステムの振る舞いに関する記録であるため、不審な振る舞いをしていたユーザIDやIPアドレスが特定できても、それを行っていた人間を特定することはできません。したがって、他人のユーザID等を用いたなりすましによる不正アクセスなどを発見するのは困難です。
そうした行為を発見するには、日頃から次のような情報を集めておき、ログの内容と比較するのが有効です。
・各ユーザの平均的なシステムの利用時間や利用時間帯
・各ユーザが通常使用しているIPアドレス及びアプリケーション
今回は主なログの種類やログ分析の実施例等について解説しました。
次回はログの運用管理における留意点やデジタルフォレンジックスの概要等について解説します。
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2025.10.17
2024.09.02
2025.02.06
