ログ分析と証拠保全
ログ管理の重要性
セキュリティインシデントが発生した際、ログは最も重要な証拠です。何が起きたのか、いつ、誰が、どこから行ったのかを特定するためにはログが不可欠です。しかし、多くの中小企業ではログの取得や保管が不十分で、インシデント発生時に原因究明ができないケースが頻発しています。
取得すべきログの種類
| ログの種類 | 取得元 | 記録される内容 |
|---|---|---|
| 認証ログ | AD、Microsoft 365 | ログイン成功/失敗、ロックアウト |
| ファイアウォールログ | FW/UTM機器 | 通信の許可/拒否、送信元/宛先IP |
| プロキシログ | Webプロキシ | アクセスしたURL、ダウンロードファイル |
| メールログ | メールサーバー | 送受信記録、スパム判定結果 |
| ファイルアクセスログ | ファイルサーバー | ファイルの作成/変更/削除/アクセス |
| OS操作ログ | 各端末/サーバー | プロセス実行、サービス変更、USB接続 |
Windowsイベントログの活用
Windowsのイベントビューアーには豊富なログが記録されています。セキュリティ調査で重要なイベントIDを覚えておきましょう。
- 4624:ログオン成功
- 4625:ログオン失敗
- 4648:明示的な資格情報を使用したログオン
- 4720:ユーザーアカウントの作成
- 4732:ローカルグループへのメンバー追加
- 7045:新しいサービスのインストール
- 1102:監査ログの消去(攻撃者が証拠隠滅を試みた可能性)
デフォルトでは監査ポリシーが不十分なため、GPOで「監査ポリシーの詳細な構成」を設定し、必要なイベントが記録されるようにしましょう。
Syslogによるログ集約
ネットワーク機器やLinuxサーバーのログはSyslogプロトコルで送信されます。Syslogサーバーを設置してログを一元管理すると、横断的な分析が容易になります。
- 無料のSyslogサーバー:Kiwi Syslog Server(Free Edition)、rsyslog
- FW、スイッチ、APなどのネットワーク機器からのログ転送を設定
- ログの保管期間は最低90日以上(可能であれば1年)を推奨
- ログの改ざん防止のため、書き込み専用の保管領域に保存
フォレンジックの基礎
デジタルフォレンジック(Digital Forensics)とは、インシデントの原因を特定するためにデジタル証拠を収集・分析する技術です。
- 証拠保全の原則:原本のデータを変更しない。必ずコピーに対して分析を行う
- 揮発性の高いデータから優先的に取得:メモリダンプ → ネットワーク接続情報 → ディスクイメージの順
- タイムラインの作成:ファイルのタイムスタンプやログを時系列に整理
- ハッシュ値の記録:証拠の同一性を保証するためにSHA-256等のハッシュ値を算出・記録
証拠保全の手順
- 感染端末の電源は切らない(メモリ上の証拠が消失するため)
- ネットワークからは隔離する(LANケーブルを抜く)
- 画面の状態を写真で撮影
- 可能であればメモリダンプを取得(winpmemなどのツール)
- ディスクのビットコピー(イメージ取得)を実施
- すべての作業を日時とともに記録(メモ帳でもよい)
本格的なフォレンジック調査は専門業者に依頼することになりますが、初動の証拠保全はひとり情シスが行う必要があります。手順書を事前に作成し、いざという時に迷わず行動できるようにしておきましょう。
✅ 完了済み