2026.01.09

ログ分析・管理とデジタルフォレンジックス（2/2）

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。

前回はログの概要やログ分析について解説しました。

今回は、ログの運用管理における留意点やデジタルフォレンジックスの概要等について解説します。

●ログの運用管理上の留意点

ログの運用管理にあたっては、次の点に留意する必要があります。

①ログ取得、保存、管理に関するポリシーの策定及び設定

システムの標準的な設定では十分なログが出力されなかったり、逆に不要なログが大量に出力されたりする場合もあります。

例えばファイアウォールでは、通信の遮断（Drop, Reject）ログのみを出力し、許可（Accept）ログについては大量になるため記録していないことも多くあります。しかし、内部に侵入したマルウェアの不正な通信を検知するためには、インターネット側に出ていく通信（アウトバウンド通信）の許可ログを取得しておく必要があります。

このように、目的に応じて取得すべきログや、その保存期間、管理方法等のポリシーを策定し、対象となる機器に設定を施します。

②ログを安全に保存できるシステムの構築

攻撃者により、サーバやPC等に保存されたログの改ざん、消去等が行われる可能性があります。
また、設定によりますが、ストレージ等の容量不足から長期間にわたってログを保存することが困難な場合も多くあります。なお、多くの場合、設定した容量の上限に達するとログは上書きされます。

そのため、十分なストレージ容量を備えたログ管理専用のシステムを構築する等して、ログを必要な期間にわたって安全に保存（保全）できる仕組みが必要となります。

③必要な情報を記録するためのシステム面での工夫

例えば、3層構造のWebシステムでは、DBMS（Database Management System）にアクセスしているのは常にWebアプリケーションサーバであるため、DBMSでログを残しても、個々の利用者については識別できないこともあります。

このような場合には、アプリケーションを変更し、ユーザ情報をDBMSに引き渡すようにする必要があります。

④ログの運用管理要員の確保及び手順書等の整備

ログの分析及び運用管理を行うための要員を確保するとともに、手順書等を整備し、そのための教育や訓練を実施しておく必要があります。

⑤SIEM等を活用したログの管理及び分析

インシデントを早期に検知するためには、ログを保存しておくだけでなく、前回解説したように、目的に応じて分析する必要があります。とはいえ、各サーバやネットワーク機器等に分散しているログを個々に分析するのは非効率であり、それらの相関を見ることも困難です。

そのため、各種のログを効率的に収集し、分析するため、ログ管理専用システムやSIEM（Security Information and Event Management：セキュリティ情報イベント管理製品）と呼ばれるシステムを導入するケースが増えています。
これらのシステムは、ログの正規化、集約化、相関分析、アラート通知などの機能を有しています。組織内にCSIRT（Computer Security Incident Response Team）やSOC（Security Operation Center）を設置している場合には、SOC担当者がログ管理専用システムやSIEMを運用し、必要に応じて結果をCSIRTに報告します。

●デジタルフォレンジックスの概要

フォレンジックス（「フォレンジック」ともいいます）とは、本来事件や事故の証拠を収集し、裁判で立証する行為を意味します。

デジタルフォレンジックス（「コンピュータフォレンジックス」ともいいます）とは、データの改ざんや不正アクセス等、コンピュータに関する犯罪の法的な証拠性を明らかにするために、原因究明に必要な機器やデータ、ログなどを保全したり、収集・分析したりすることです。
広義には、セキュリティインシデント発生時に、関連する各種ログや侵害を受けた機器等を調査する行為全般をフォレンジックと呼びます。

●デジタルフォレンジックスにおける調査手順

デジタルフォレンジックスは、通常次のような手順で行います。

　・対象となるPCやサーバを隔離する等して保全する

　・対象PCやサーバのキャッシュやメモリの内容を取得する

　・対象PCやサーバのディスクイメージを取得する

　・ディスクイメージを調査用のディスク上にコピーする

　・取得したデータの調査を実施する

ディスクイメージとは、調査対象であるPCやサーバのハードディスク等のストレージの中身を物理的に完全にコピーしたものです。

なお、デジタルフォレンジックスで証拠を収集する際には、揮発性の高いものから順に進める必要があります。
「RFC 3227：証拠収集とアーカイビングのためのガイドライン」によれば、揮発性の順序について、次のように例示されており、上のものほど揮発性が高く、収集の優先度も高くなります。

　・レジスタ、キャッシュ

　・ルーティングテーブル、ARPキャッシュ、プロセステーブル、メモリ等

　・テンポラリファイルシステム

　・ディスク

　・当該システムと関連する遠隔ロギングと監視データ

　・物理的設定、ネットワークトポロジ（接続形態）

　・アーカイブ用メディア（CD, DVD等）

●ログ分析サービスにおける実施手順

セキュリティベンダ等が提供しているログ分析サービスは、NDA（Non-Disclosure Agreement：秘密保持契約）締結後、通常次のような流れで実施されます。

①事前調整（分析を依頼する組織とセキュリティベンダ間で実施）

　・分析を依頼する理由、目的、緊急度等の確認

　・対象となるシステム、ネットワーク構成等の確認

　・分析対象ログの確定

　・分析対象期間の確定

　・分析日程、実施期間等の調整

②ログの収集・送付（分析を依頼する組織にて実施）

　・分析対象ログを収集し、セキュリティベンダに送付

③付加情報の提供（分析を依頼する組織にて実施）

　・分析する上で参考となる情報として、ネットワーク構成図、セキュリティ製品の設定内容（ファイアウォールのアクセス制御設定等）、IT資産管理台帳等をセキュリティベンダに提供（可能な範囲で）

④ログ分析（セキュリティベンダにて実施）

　・分析の目的等を踏まえて対象ログを分析

　・分析途中で報告すべき事象等が確認された場合には随時報告

⑤分析結果報告書の作成及び報告会の実施（セキュリティベンダにて実施）

　・分析結果をとりまとめ、報告書を作成

　・分析を依頼した組織の関係者への報告会を実施

　・報告会では、分析の結果確認された事象や問題点を説明するとともに、その対応策等について助言（デジタルフォレンジックス等、更なる詳細調査が必要となる場合もある）

⑥分析結果及び助言等を踏まえた対応（例）

　・デジタルフォレンジックス等による追加調査の実施

　・セキュリティ機器等の設定見直し

　・新たなセキュリティ対策製品やサービスの導入