ログ管理・SIEMとは｜仕組み・対策 | london3.jp

概要

ログ管理とは、システムやネットワーク機器が記録する操作・通信・アクセスの記録（ログ）を、適切に取得・保管・分析する取り組みです。ログは、不正の検知、インシデントの原因追跡、責任追跡性（誰が何をしたか）の確保に不可欠です。

多数の機器から大量に出るログを集約し、相関分析して脅威を検知する仕組みがSIEM（Security Information and Event Management）です。SOCによる監視の中核を担います。

詳細（ログの種類・SIEM）

ログの種類	例
アクセスログ	いつ・誰が・どの資源にアクセスしたか。
操作ログ	ファイル操作・設定変更などの操作履歴。
通信ログ・認証ログ	通信記録、ログインの成功/失敗。

SIEMは、これらのログを一元的に集約し、複数の機器のログを相関分析することで、単体では見えない攻撃の兆候を検知します。

ログ管理のキーワードは「取得・保管・分析による不正検知・原因追跡・責任追跡性」。SIEM＝ログを集約・相関分析して脅威を検知。ログ自体の改ざん防止（保護）も重要な論点です。

運用のポイント

必要なログを確実に取得し、十分な期間保管する（事後の調査に備える）。
ログ自体の改ざん・削除を防ぐ（攻撃者は痕跡を消そうとする）。
時刻を同期（NTP）し、複数機器のログを突き合わせられるようにする。
SOC・CSIRTと連携し、検知から対応につなげる。

ログは「取っているだけ」では意味がありません。改ざんから守り、分析して初めて価値が出ます。攻撃者がログを消して痕跡を隠すため、ログの外部保管や保護が重要です。ルートキット対策とも関連します。

関連例

情報漏えいやインシデントの調査では、ログが原因究明・影響範囲特定の決め手になります。逆にログを取得・保管していないと、「何が起きたか分からない」という事態に陥ります。内部不正の抑止にも、操作が記録されていること自体が効果を持ちます。

試験での問われ方

「ログを集約し相関分析して脅威を検知する仕組みはどれか」→ SIEM。
「ログ管理の目的はどれか」→ 不正検知・原因追跡・責任追跡性の確保。
「ログ管理で注意すべきことはどれか」→ ログの改ざん・削除の防止、時刻同期。