不正アクセスの痕跡を検出するログ解析ツール「ShowTOC」〜ログ解析の重要性〜

　企業において、ホームページの開設はもはや当然のことであり、マーケティングの一環としてホームページのアクセスログの解析をされていることでしょう。では、システムの状態を把握するには何をしたらよいのでしょうか。稼動しているシステムのログを確認することでしょう。では、不正アクセスについて痕跡を見つけるにはどうするのでしょうか。やはり、システムのログを解析することです。そして、不正アクセスを受けたか、そうでないかが判断できるのです。

　OSやアプリケーションのシステムログから正常稼動はもとより、不正アクセスの前兆、不正アクセスの手口、不正アクセス元、時間帯や頻度などがログわかります。

　特に、正常でない状態が不正アクセスの痕跡になっていることが多いものです。不正アクセスを検知するには、ログから異常検知と不正検知の特定することです。

　異常検知とは、システムにおいて正常とは違う動作をすることを検知することです。そのためには、まず、正常な状態を把握することが必要となります。また、閾値（しきいち）と呼ばれる基準が重要になってきます。例えば、接続元の異常、接続時間の異常、リクエストの異常、権限のないユーザのサービスの利用、人のいない時間帯のサービスのリクエストなどがあげられるでしょう。

　不正検知とは不正な行為を見つけだすことであり、不正であるという証拠を探す必要があります。その特定には「不正である」というシグネチャ（不正であるキーワード）を準備する必要があります。不正検出としては、攻撃手法による特定の痕跡、攻撃ツールによる特定の痕跡、例えば同一接続元からの特定動作の繰返し、同一接続元からの時刻が集中した各サービスへのリクエストがあげられるでしょう。
　そして、これら不正検出と異常検出の連携を図ることで不正アクセスを発見できるのです。

　しかし、ログは複数に記述されたり、適切にログを設定するためにログの設定に関する知識、ログ毎の書式の違いなど煩雑であり、また、ログ解析には不正アクセスパターンの増加、情報収集と検証、そして何よりもスキルと時間を要します。

　膨大なログを解析し、不正アクセスの痕跡を見つけることは困難な作業で、専門的知識がないと、不正アクセスの痕跡に気付かず被害が拡大するケースが少なくないです。特に、専任管理者を置けない中堅以下の企業にとっては頭の痛い問題でしょう。

　そうした問題を解決し、新たな不正アクセスや内部不正に対する監査、セキュリティレベルの向上など、効果的なセキュリティ対策を行っていくためにも、ログ解析ツール「ShowTOC」を利用し、ログを容易に解析し、適切なセキュリティ管理に役立てはいかがでしょうか。

詳しくは
http://www.icl-net.co.jp/security_solution/