2020年11月に発生したカプコンへのランサムウェア攻撃では、ファイル等が暗号化されただけではなく、アクセスログが削除され、調査や事態把握に困難を極めた。また、同年2020年12月の別のランサムウェア被害でもアクセスログが削除され、被害の影響範囲の調査に悪影響を与えている。
セキュリティ侵害があった際に、何が起こったのかを把握するためにログは必須であり、ログがなければ事態解明ができないだけでなく、どんな対策を打てば同様事案を将来防げるのかわからなくなるため、安全宣言や最終報告の歯切れが著しく悪くなる。
4月に、関西のセキュリティ企業の雄である株式会社神戸デジタル・ラボは、Windowsサーバやセキュリティ機器のログ設定状況を調査する「ログ設定診断」サービスの提供を開始した。同社はインシデントレスポンスの現場で「削除されたログ」どころか、ログ収集や保存の設定がお粗末であったために、調査や解析等に「使えないログ」に多数遭遇し衝撃を受け、当該新サービスをはじめた。
正直、有事に先んじてこういうサービスを利用しようと思う賢明な企業なら、そもそもログをちゃんと設定できている場合が多いと推測される。一方でほんとうにこのサービスが必要な「まだ被害に遭っていない層」「これから被害に遭う層」にとってこのサービスの有効性は被害に遭っていないからこそ想像と理解の範疇の外であり、ログをきちんと取って有事に備えるというよりも、「検知率100%」など攻撃を未然に防げる子供っぽい幻想を積極的に提供することを厭わないもっとわかりやすいセキュリティ投資の方に魅力を感じるかもしれない。つまり「(このサービスを)誰が買うのか」という疑問が生じる。しかし、セキュリティ企業の真摯な良心を感じさせるサービスでもあり応援したい気持ちも禁じ得ない。
以上のような趣旨から、同社デジタルビジネス本部 Security Service 久柴 克宏(ひさしば かつひろ)氏に「ログの収集保存の重要性」「適切なログが取れていない場合に起こる問題」「なぜ不適切なログ設定が起こるのか」についてそれぞれの要点を簡潔に聞いた。
--
──ログが適切に取れていないとどういう問題があるのでしょうか?
大きく3つで、ひとつめはセキュリティ上の問題です。
ログが取得されていない場合、セキュリティ攻撃が発生した場合に「攻撃の種類」「攻撃元」「攻撃されたデータ」などを特定することができません。このため、攻撃者によってどんな不正行為が行われたことかを検知できず、対応策を打つことができません。その結果対策したと思っていても、重要な欠陥が取り残されて、再度攻撃を受ける可能性があります。
![[レポート] インシデントレスポンスの初動から終息までのフロー 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/18581.jpg)
