情報セキュリティ

基本情報技術者試験ログ管理」の問題

情報セキュリティ情報セキュリティ難易度:hard
J社では、不正アクセスの調査時に各サーバのログを参照したところ、攻撃者がログを改ざん・削除した痕跡があり、調査が困難になった。ログを証拠として確実に活用するための対策として、最も適切なものはどれか。
各サーバのログ保存期間を延長し、過去のログを長く参照できるようにする。
ログに記録する項目を増やし、操作内容をより詳細に残す。
各サーバの管理者アカウントのパスワードを定期的に変更する。
ログを書込み後は変更できない別サーバへ追記専用で集約・転送する。
正解
ログを書込み後は変更できない別サーバへ追記専用で集約・転送する。

問題は『侵害されたサーバ上でログが改ざん・削除される』ことである。ログを別のログサーバへ転送し、書込み後は変更できない追記専用(WORM)の形で保管すれば、侵害された端末の権限ではログを書き換えられず、証拠としての完全性が保たれる。

?選択肢ごとの解説

ア ×保存期間の延長は参照可能な期間を延ばすだけで、攻撃者がログ自体を改ざん・削除できる状態は変わらず、完全性を守れない。
イ ×記録項目の充実は調査の解像度を高めるが、ログが改ざんされ得る場所にある限り証拠としての信頼性は確保できない。
ウ ×管理者パスワードの定期変更は不正アクセスの予防策であり、既に侵入された後のログ改ざんを防ぐ完全性対策にはならない。
エ ○問題は『侵害されたサーバ上でログが改ざん・削除される』ことである。ログを別のログサーバへ転送し、書込み後は変更できない追記専用(WORM)の形で保管すれば、侵害された端末の権限ではログを書き換えられず、証拠としての完全性が保たれる。

くわしく

ログの証拠性には『完全性(改ざんされていないこと)』が不可欠である。侵害された端末上のローカルログは攻撃者の管理下にあるため信頼できない。ログを物理的・論理的に分離した変更不可の基盤へ集約することが要諦である。

本番での押さえどころ

試験のコツ

ログ改ざんが論点なら、別サーバへの集約+追記専用(WORM)で完全性を確保が正解。期間・項目の話とは別。

覚え方

ログは『現場に置くと消される』。金庫(別サーバ・追記専用)に移して守る。

よくある誤り

保存期間や記録項目(量・詳細さ)の話と、完全性(改ざん耐性)の話を混同する。証拠性の論点は『改ざんできないか』である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0010

【基本情報技術者試験】ログ管理の問題 — 解答・解説|ukamiru 過去問