こんにちは!SCSKのさくらです。
2023年3月1日にぷらっとホーム Easyblocks Network Reporter、2023年3月29日にヤマハYNOのLAS機能、と相次いでヤマハネットワーク機器対応のログソリューションが発表されました。
こちらの記事では、「なぜログ管理が必要なの?」「どのくらいのログを保存すればいいの?」といった方向けに、ログ管理の必要性について解説いたします!
そもそも「Syslogって何?」という方は、下記の記事からご覧ください!
なぜSyslogの保存・管理が必要なの?
ヤマハルーターのSyslog
ヤマハルーターは、内臓メモリに一定量のログを蓄積することができます。例えばRTX830の場合、Syslogメッセージを10,000行蓄積することができます。
| 機種 | 内臓メモリに溜められる ログの量 |
| vRX, RTX5000、RTX3500 | 20,000行 |
| RTX1300、RTX1220、RTX1210、RTX1200、NVR510、NVR700W、RTX830 | 10,000行 |
| RTX3000(Rev.9.00.56以降)、RTX810、FWX120、NVR500 | 3,000行 |
| 上記以外の機種 | 500行 |
10,000行というとかなり多いように感じますが、トラブル解決に必要なdebugを設定すると、大量な情報が出力されるためすぐに上限値に達してしまい、古いものは上書きされてしまいます。そのため、専用のサーバー等にSyslogを送信し、ルーターの外部で保存しておくことが一般的とされております。
では、Syslogを保存するとどんなメリットがあるのかご紹介いたします。
短期的なメリット
セキュリティインシデント・ポリシー違反・詐欺行為などといったトラブルは、十分な予防策を講じていても、予期せぬきっかけで起こってしまうことがあります。こういった、トラブルが発生してしまった場合、ログを適切に保管していれば短期間で問題を特定することが可能ですし、問題解決のために役立つ情報を迅速に収集することができます!
また、下記に記載するガイドラインの通り、攻撃者がログを削除するといった例も見受けられます。ログが削除されてしまうと攻撃の痕跡や全体像をつかむことに時間がかかり、問題解決策や再発防止策を検討することが難しくなります。
高度サイバー攻撃でなくとも、攻撃者がログファイルを削除、あるいは自身のアクセス記録を消すなどの事例がよく見られる。ログの保存管理においては、攻撃者のこういった妨害の可能性を忘れてはいけない。(中略)高度サイバー攻撃の場合には、気がつかないまま、攻撃のステージが進んでしまっていることがしばしばあり、そのような場合にも攻撃の全体像を正しく分析するためには、ある程度長期間のログが保存されていなければならない。そのためには、各機器で採取したログを集約し、Syslog サーバなど長期保存に適したサーバに保存することが望ましい。
JPCERTコーディネーションセンター(JPCERT/CC)
高度サイバー攻撃への対処におけるログの活用と分析方法 1.2 版
https://www.jpcert.or.jp/research/APT-loganalysis_Report_20220510.pdf
長期的なメリット
ログを適切に一定期間保管していると、組織の内部調査・監査の補助情報として利用したり、ログから異変を読み取ることでトラブル前に防止策を検討したりすることができます。つまり、運用動向や長期的な問題を明らかにすることにも役立つのです。
参考資料:IPA 情報処理推進機構
コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告 2.2. ログ管理の必要性
Guide to Computer Security Log Management
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000025363.pdf
Syslogはどのくらい保存すればいいの?
どのくらいSyslogを保存するべきなのか、詳細を記載しているガイドラインや法律をご紹介いたします。
一般企業での保存期間
刑事訴訟法では、「電気通信を行うための設備を他人の通信の用に供する事業を営む者又は自己の業務のために不特定若しくは多数の者の通信を媒介することのできる電気通信を行うための設備を設置している者」に対して下記のような捜査をすることができると定めています。
業務上記録している電気通信の送信元、送信先、通信日時その他の通信履歴の電磁的記録のうち必要なものを特定し、三十日を超えない期間を定めて、これを消去しないよう、書面で求めることができる。
刑事訴訟法 第二編 第一審 第一章 捜査 第百九十七条 3
データセキュリティ基準 要件とテスト手順V4.0(2022年 3 月)
サイバー犯罪に関する条約では、欧州評議会の締約国は、蔵置された特定のコンピュータ・データについて「迅速な保全を命令すること又はこれに類する方法によって迅速な保全を確保することを可能にするため、必要な立法その他の措置をとる。」としたうえで、下記のように期間を定めています。
コンピュータ・ データの開示を求めることを可能にするために必要な期間(九十日を限度とする。)、当該コンピュー タ・データの完全性を保全し及び維持することを当該者に義務付けるため、必要な立法その他の措置をとる。
外務省 サイバー犯罪に関する条約 第十六条蔵置されたコンピュータ・データの迅速な保全 2
https://www.mofa.go.jp/mofaj/gaiko/treaty/pdfs/treaty159_4a.pdf
また、カード情報を「保存、処理、または伝送する」企業が遵守する必要のあるPCI DSSでは下記のように期間を定めています。
監査ログの履歴を少なくとも 12 カ月間保持し、少なくとも直近の 3 カ月間は分析のために直ちに利用できるようにする。
PCI DSS
データセキュリティ基準 要件とテスト手順V4.0(2022年 3 月)
教育機関での保存期間
教育機関では、各教育委員会において教育情報セキュリティポリシーの策定・改訂を行う際に参考資料となる文部科学省のガイドラインには下記のように期間の記載がございます。
校務系システム及び校務外部接続系システムのログについては6か月以上保存することが望ましい。
文部科学省
教育情報セキュリティポリシーに関するガイドライン (令和 4 年 3 月)
https://www.mext.go.jp/content/20220304-mxt_shuukyo01-100003157_1.pdf
まとめ
Syslogは、一定期間適切に保管することでトラブル時の要因特定や長期的な問題解決をより迅速かつ正確に行うことができるようになります。
SCSKで提供しているヤマハネットワーク製品のログソリューションについては、こちらの記事を参考に要件に合ったものをお選びください。
関連記事
-
さくらのコラム ぷらっとホームのコラム 更新情報【~2023年5月】EasyBlocks Network Reporter 更新情報まとめ
- なかせのコラム ヤマハのコラム 更新情報
ヤマハ株式会社が「Interop Tokyo 2023」に出展!SCSKも参加予定です!
- さくらのコラム ヤマハのコラム 更新情報
ヤマハ出展の「第14回 EDIX(教育総合展)東京」 訪問レポート
- かとうのコラム コラム はじめてのヤマハUTX ヤマハのコラム 更新情報
はじめてのヤマハUTX 第3回 ~UTXシリーズ紹介②~
- かとうのコラム コラム はじめてのヤマハUTX ヤマハのコラム 更新情報
はじめてのヤマハUTX 第3回 ~UTXシリーズ紹介①~
