マイナンバー対策で求められる現実的なログ管理とは · q....

Infoscience Corporationwww.infoscience.co.jp

[email protected]

Tel: 03-5427-3503 Fax: 03-5427-3889

2015年7月9日

インフォサイエンス株式会社

プロダクト事業部

マイナンバー対策で求められる

現実的なログ管理とは

Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.

Contents

1. インフォサイエンスのご紹介

2. 情報セキュリティとログ

3. マイナンバーとログ

4. 過去の情報漏えい事件から見るログ管理の現実解

5. 統合ログ管理システム構築

2


インフォサイエンス株式会社概要

設立1995年10月

代表者宮紀雄

資本金1億円

事業内容・パッケージソフトウェアの開発・データセンタ運営・受託システム開発サービス・包括システム運用サービス

所在地東京都港区芝浦2丁目4番1号インフォサイエンスビル

統合ログ管理システム「Logstorage」

出典：ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2014(統合ログ管理市場)」

導入社数 1,800社8年連続シェアNo.1

51.1%

A社

21.2％

B社

8.8％

C社

(7.9%)

D社

(5.3%)

E社

(3.5%)

その他

(2.2%)

3


情報セキュリティとログ

4


ログ管理の目的

個人情報保護法

プライバシーマーク ISO27001/ISMS

経産省/クラウドセキュリティガイドライン

PCI DSS

様々なルールや脅威への対応のために、ログの管理が行われている

金融商品取引法(IT全般統制)

不正アクセス禁止法

マイナンバー/番号法

サイバーセキュリティ基本法

不正抑止

事後調査

情報セキュリティに於けるログ管理 3つの目的

APT/標的型攻撃（外部脅威）個人情報・機密情報漏えい（内部犯行）

情報セキュリティの最後の砦であるログ管理は、あらゆる法令・ガイドラインで対応が求められている

予兆検知

5


マイナンバーとログ

6

Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 7

マイナンバー

2015年10月より、住民票を有する者全てに、12桁の番号（マイナンバー）の通知が行われ、2016年1月より、各種行政手続きでマイナンバーの利用が開始される。

行政機関や地方公共団体等で、「社会保障」「税」「災害対策」の分野で保有する個人情報とマイナンバーとを紐づけて効率的に情報の管理を行い、さらにマイナンバーを活用して、同一の者に関する個人情報を他の機関との間で迅速かつ確実にやり取り（情報連携）することが可能になる。

マイナンバーとは

Ａ基本方針の策定Ｂ取扱規程等の策定Ｃ組織的安全管理措置

Ｄ人的安全管理措置Ｅ物理的安全管理措置Ｆ技術的安全管理措置

講ずべき安全管理措置の内容

特定個人情報の適正な取扱いに関するガイドライン(事業者編) 特定個人情報保護委員会 (平成26年12月)

特定個人情報の適正な取り扱いに於いても、ログ管理は極めて重要


講ずべき安全管理措置の内容

8

ｂ取扱規程等に基づく運用

取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する。

≪手法の例示≫ ＊事務取扱担当者の情報システムの利用状況（ログイン実績、アクセスログ等）の記録

ｄ情報漏えい等事案に対応する体制の整備ｃ取扱状況を確認する手段の整備

C 組織的安全管理措置

D 人的安全管理措置

ａ事務取扱担当者の監督

事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。

ログの監査による「不正抑止」

ログのモニタリングによるアクセス状況の把握／情報漏えい時の追跡

ｃ外部からの不正アクセス等の防止

≪手法の例示≫ ＊ログ等の分析を定期的に行い、不正アクセス等を検知する。

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。

F 技術的安全管理措置ログの監視による「外部脅威対策」


マイナンバーとログモニタリング

9

人事給与システムファイルサーバ人事・経理担当者PC

運用担当者PC

特定個人情報

操作帳票出力

データベースアクセスログ

ファイルサーバアクセスログシステム利用ログPC操作ログ

PC操作ログ

入退室ログ特定個人情報

特定個人情報利用区域

マイナンバー対策に於けるログのモニタリングポイント

・・・モニタリング対象ログ

ログ・モニタリングの対象は人事給与システムだけではない

特定個人情報

特定個人情報


特定個人情報に対するアクセス監査

人事給与システム運用担当者PC

ログを可視化・モニタリングするための仕掛け統合ログ管理システム

高圧縮保管自動レポート出力改ざん検出

横串・横断検索

アクセス制限

ログ分析・グラフ化リアルタイムアラート

統合管理されたログ

ログ

ログ

人事・経理担当者PC入退室管理

ログログログログ

ファイルサーバ

データベース

ログ

データベース

統合ログ管理システムによるアクセス監査

特定個人情報に対するアクセスログを一元管理し、モニタリングする事で不正に対する抑止効果を発揮すると共に、特定個人情報が適切に扱われていることを証明する。

10


過去の情報漏えい事件から見るログ管理の現実解

11


情報漏えい事件とログ

漏洩企業事件発覚漏洩件数犯人事件後の対応策（ログ関連）

A社 2007年 863万件業務委託先の社員ログのチェック頻度を高める。

B社 2009年 148万件社員(システム部の部長代理)

顧客情報検索のログデータの監視、顧客情報へのアクセスログの検証強化。

C社 2014年 2,070万件業務委託先の社員アクセスログの監視設定の強化。（定期チェック）

[共通点]

- 犯人は漏洩したデータに対してアクセス権限を持っていた。

- 犯人は情報を外部記憶媒体に保存して持ち出した。(CD-R, USB接続の記憶媒体など)

- 犯人は金に困っていた。

- ファイルサーバやデータベースアクセス等のログは取得されていたが、顧客から問合せがあるまで犯行を見つけることができなかった。

- 事件後、対策の1つとしてログの監視強化を挙げる。

12


内部漏洩の典型例

守るべき情報の所在

データベース

流出経路

ログ管理システム

ログ送信?

外部記憶媒体

File Server

DB Server

持出し

作業員（アクセス権限有り）

ログ送信

参照

典型的な例

デバイス制御を過信

モニタリングされていない

PC MailServer

WebProxyServer

印刷複合機

ログをそもそも見ていないか、ログを見るルール・基準を持っていない。その結果、「抑止」が効かない。

13


Q. 情報をログで管理してチェックすればもっと早く不自然な情報の取得に気付くことができたのでは？

A. 権限を持った者が決まった方法を装って行った場合には、異常を知らせるサインは出なかった。お客様から問い合わせが何件も重なり始めておかしいと気づいた。

Q. すべての情報をCDにコピーしたのは、不自然な行為ではなかったのか。

A. 結果としては不自然な行為だったが、絶対にないかと言われれば、ない行為ではない。それだけを取り上げて変な行動だと気がつくというのは、管理の問題なのか調査中。

B社記者会見でのやりとり

・データベースに直接アクセスせず、複数のサーバーを経由して顧客情報をコピーした。・データベースにアクセス出来る権限は犯人を含め数人しかいなかったが、経由したサーバには

数百人がアクセス可能だった。・犯人：「ばれないと思った」

C社犯人の犯行・供述

不完全な「抑止効果」

どちらの企業もログ管理は行っていたが、「抑止」が効いていない

14


住基ネット不正利用とモニタリング

・I市市民部市民課の職員(50代)が、業務とは関係なく住基ネットを利用し、自らがファンである有名タレントの情報を検索。

・約2時間後、全国の住基ネットシステムを管理するセンターからタレントに関する情報検索があったとの通報があったため発覚。その後、職員は懲戒処分を受ける。

・職員：「魔が差した」

事件の概要

・N市市民課の支所の職員(30代)が、業務とは関係なく住基ネットを利用し、有名人2人の情報を検索。

・翌日、全国の住基ネットシステムを管理するセンターから著名人に関する情報検索があったとの通報があったため発覚。その後、職員は懲戒処分を受ける。

・市が過去の記録を調査したところ、別の職員(60代)の不正利用(友人10人の情報検索)も発覚。

・2人の職員：「端末を操作する機会がなく、練習した」

住基ネット不正利用とモニタリング

15

「完全な」ログのモニタリングは不可能。しかし、モニタリングしている事実を継続して示す事により、抑止効果を高めていく他無い。


・「事後調査」のために、必要なログは全て取っておく必要がある。

・しかし、全てのログをモニタリングするのは不可能。

・データを持ち出すのは、権限を持っているユーザ。モニタリング対象を、権限を持つユーザに絞る。

・システム担当とモニタリング（セキュリティ）担当は分ける。

・一発アウトのログだけではなく、業務上発生し得ても漏洩リスクのあるログも捕捉する

・ログを捕捉したら当該社員に確認を取るなどして「抑止」を図る。

ログモニタリングの対象を絞り、「抑止」に重点を置く

ログモニタリングは性悪説に立った社員の監視？

・企業の機密情報やマイナンバーなど、社内にはカネになるデータが溢れている。

・抑止により「魔が差す」「ばれないと思われる」状況を無くす。

・社員の潔白を証明することにもなる。

内部漏洩ログ管理の現実解

16


「予兆」を見つけ、「抑止」を効かせるログ管理

アクセス件数の閾値設定

- データベースからの取得行数のチェック

- 個人情報が含まれるファイルに対するアクセスを、個人情報件数でチェック

外部への情報持ち出し

- USB接続ログのチェック

- 添付ファイル付きメール送信ログのチェック

- 外部アップロードログのチェック

申請データとログの突き合わせ

- 申請外のアクセスが無いかチェック

相関チェック

アクセス権を持つ者に対するログのモニタリング例

ログの自動チェック

ルール設定

チェックNGユーザに対するヒアリング

ルール改善

NG

このフローを仕組みとして作る

「予兆」を見つけ、「抑止」を効かせるログ管理

17


統合ログ管理システムの構築

18


ログ管理の前にやっておくべきこと

適切なログモニタリングを実現するために解決すべき課題

・ログを「読める」ものにする・フォーマットの異なるログの形式を吸収する・ログに不足している情報を付加する

ログモニタリングの目標

・策定したルールとログを自動的に突き合わせ、チェックしていく仕組み。(予兆検知と不正抑止)

・インシデント発生時の迅速なログ追跡。(事後調査)

・守りたい情報が何で、どこにあるのかを明確にすること。・守りたい情報に対し、アクセス権の管理を行うこと。

統合ログ管理システム構築の基本

19


ログ収集機能

[受信機能]

・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]

・Logstorage Agent

・Logstorage EventLogCollector

・Logstorage SecureBatchTransfer

ログ保管機能

ログ検知機能検索・集計・レポート機能

・ポリシーに合致したログのアラート・ポリシーはストーリー的に定義可能(シナリオ検知)

・ログの圧縮保存／高速検索・ログの改ざんチェック機能・ログに対する意味（タグ）付け・ログの暗号化保存・保存期間を経過したログを自動アーカイブ・ログの保存領域管理機能

・ログの検索／集計／レポート生成・検索結果に対する、クリック操作による絞込み・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)

<Logstorage システム構成>

統合ログ管理システム「Logstorage」

20


ログ収集実績

［OSシステム・イベント］・Windows

・Solaris

・AIX

・HP-UX

・Linux

・BSD

［Web/プロキシ］・Apache

・IIS

・BlueCoat

・i-FILTER

・squid

・WebSense

・WebSphere

・WebLogic

・Apache Tomcat

・Cosminexus

［ネットワーク機器］・Cisco PIX/ASA

・Cisco Catalyst

・NetScreen/SSG

・PaloAlto PA

・VPN-1

・Firewall-1

・Check Point IP

・SSL-VPN

・FortiGate

・NOKIA IP

・Alteon

・SonicWall

・FortiGate

・BIG-IP

・IronPort

・ServerIron

・Proventia

［クライアント操作］・LanScope Cat

・InfoTrace

・CWAT

・MylogStar

・IVEX Logger

・MaLion3

・秘文・SeP

・QND/QOH

［データベース］・Oracle

・SQLServer

・DB2

・PostgreSQL

・MySQL

［サーバアクセス］・ALogコンバータ・VISUACT

・File Server Audit

・CA Access Control

［データベース監査ツール］・PISO

・Chakra

・SecureSphere DMG/DSG

・SSDB監査・AUDIT MASTER

・IPLocks

・Guardium

［メール］・MS Exchange

・sendmail

・Postfix

・qmail

・Exim［ICカード認証］・SmartOn

・ARCACLAVIS Revo ［その他］・VMware vCenter

・SAP R/3 (ERP)

・NetApp (Storage)

・EMC (Storage)

・ex-SG (入退室管理)

・MSIESER

・iSecurity

・Desk Net’s

・HP NonStop Server

…その他

［運用監視］・Nagios

・JP1

・Systemwalker

・OpenView

［アンチウィルス］・Symantec AntiVirus

・TrendMicro InterScan

・McAfee VirusScan

・HDE Anti Vuris

［Lotus Domino］・Lotus Domino

・Notes AccessAnalyzer2

・Auge AccessWatcher

［複合機］・imageRunner

・Apeos

・SecurePrint!

日本国内で利用されているものを中心に250種類以上のログ収集実績

【Logstorage アライアンス製品（連携パック）】

Palo Alto Networks

next-generation firewalls

SecureCube / AccessCheck

LanScope CatAmazon Web Service (CloudTrail/Config その他)

CWAT Sendmail

InfoTrace Auge AccessWatcher

MylogStar PISO

i-FILTER IVEX Logger シリーズ

SecurePrint! MaLion

Chakra Max VISUACT

SSDB監査 File Server Audit

AUDIT MASTER 監査れポータル

ログ収集実績

21


人間が読んで理解できる形式への変換が必要

日時サーバ名アクションドメイン名ユーザファイルパスファイル名成功／失敗

2013-03-01 00:00:00 FS01 ファイル読み込み infoscience yamada D:¥common¥ 顧客リスト.xls 成功

2013-03-01 01:00:00 FS01 ファイル書き込み infoscience yamada D:¥common¥ 顧客リスト.xls 成功

2013-03-01 02:00:00 FS01 ファイルリネーム infoscience yamada D:¥common コピー～顧客リスト.xlsx

－

日時サーバ名アクションドメイン名ユーザ接続元ホスト名接続元IPアドレス成功／失敗

2013-03-01 00:00:00 FS01 ログオン（ローカル認証） infoscience yamada －－成功

2013-03-01 01:00:00 FS01 ログオン（リモート認証） infoscience yamada YAMADA-WORK 192.168.0.1 成功

Windowsイベントログの例 Logstorage 機能EventLogCollector

ログの可視化／Windowsイベントログ

22


GeoIP

URLカテゴリDB

コードマスタ

外部データ連携

活用例組合わせるデータ

様々なログデータ

ログに足りない情報を足すという考え方

脅威DB

統合IDマスタ

部署毎のログ分析部署マスタ

ログ中のコード/IDとメッセージの対応付け

機器によるユーザID体系の違いを吸収

アクセス先Webサイトのカテゴリ分析

アクセス元の国の分析

アクセス元の脅威の分析

ログ

Logstorage 機能外部マスタ連携

23

ログの可視化／外部データとの連携


ログの追跡ログに対する意味づけ・タグ付け

1,カード認証OK ,2014/6/15 08:56,yamada 山田太郎,ｶｰﾄﾞ操作記録,ｶｰﾄﾞ:施解錠状態,(01011001)(扉1-1),解錠入室

入退室

2014/06/15 08:58:27,2131,0,yamada,192.168.0.1,PC01,192.168.111.124,SMO01.local,Windowsにログオンしました。

PC認証

qmail: June 15 15:18:57 192.168.0.100 qmail: [ID 748625 mail.info] 1239747357.775176 info msg 322844:

bytes 15515 from <[email protected]> qp 2924 uid 7791

メール送信

"ora104","192.168.0.1",“yamada","ROOT","ORACLEDBCOLLECT",28,"localhost.localdomain","",10,29177,"Query","2014-06-15

13:04:10","2014-06-15 13:04:10",0,"2014-06-15 13:04:10",1,0,0,2,2,223,486,"select * from user where userid=‘admin' and

password="*****“…

DBアクセス

2014-06-15 15:16:20 EventLogCollector: write yamada C:¥Data¥list.txt 成功 3143473 3

ファイルサーバアクセス

Logstorage 機能ログフォーマット定義

ログの追跡

ログ項目に対して「タグ」付けを行うことで、異なるフォーマットのログを横断的に扱う

24


いつ? どうした? 何処で?/何に対して?誰が?

ログの追跡

統合ログ管理システムの導入により、手間のかかるログ収集・管理基盤を迅速に構築し、モニタリング・ルールの作成に注力する

25


ログの突合レポート

システムユーザID 作業開始時間作業終了時間

SystemA suzuki 2012/03/21 10:00:00 2012/03/21 12:00:00

マスタデータ（作業申請）ログデータ時刻ｱｸｼｮﾝユーザID

2012/03/21 13:12:31 ログオン yamada

2012/03/21 14:49:35 ログオフ yamada

2012/03/21 10:31:23 ログオン suzuki

2012/03/21 12:38:21 ログオフ suzuki

システムユーザID 作業開始時間（申請）作業終了時間（申請）ログオン時間ログオフ時間判定結果

SystemA yamada 申請なし申請なし 2012/03/21 13:12:31 2012/03/21 14:49:35 ×

SystemA suzuki 2012/03/21 10:00:00 2012/03/21 12:00:00 2012/03/21 10:31:23 2012/03/21 12:38:21 ×

突合

ログデータとルール・基準の突合せ

突合レポート(Logstorageにより自動出力)

21

他にも下記との突合がある・しきい値・ログの組合せルール・セキュリティポリシー

申請データとアクセスログの突合せ例

こうした突合せを自動的に実行・レポートすることにより、ログのモニタリングを確実に、継続的に行うことが可能になる。

マイナンバー対策で求められる現実的なログ管理とは · q....

Documents

Transcript of マイナンバー対策で求められる現実的なログ管理とは · q....

マイナンバー対策で求められる 現実的なログ管理とは · q....

Documents

Transcript of マイナンバー対策で求められる 現実的なログ管理とは · q....

マイナンバー対策で求められる現実的なログ管理とは · q....

Transcript of マイナンバー対策で求められる現実的なログ管理とは · q....