統合ログ管理ツールで不正行為も一目瞭然：IT導入完全ガイド（4/5 ページ）

[土肥正弘，ドキュメント工房]

ログデータに各種マスター情報や申請情報を連携し突き合わせて正当性を確認

　ログデータに記録されない部署名や氏名などのマスター情報と連携させ、各種申請情報などと突き合わせることも可能になっている。例えば、特権ユーザーとしての操作は操作時間を申請し、その時間内に限り許可されるケースでは、実際のログイン／ログオフ時間と申請時間とを突き合わせることで、ポリシー外の行動が分かる。なりすましによるシステム不正利用が見つかるかもしれない。

図6 突合せによるポリシー違反の検出例（出典：インテック）

標的型攻撃への対策

　セキュリティ面で最も懸念されるのが標的型攻撃。その特徴は、社内に侵入したマルウェアがディレクトリサーバなどから情報を収集しては侵入を拡大し、内部情報を外部指令サーバ（攻撃者のサーバ）に送信しようとするところにある。

　業務サーバやディレクトリサーバへの不審な大量アクセス、サーバからクライアント、クライアントからクライアントへのアクセス、プロキシサーバを経由せずにファイアウォールで遮断された通信などの特有な行動はログから把握することができる。問題箇所を特定し、復旧にあたれる。

図7 標的型攻撃のパターンとログで注目するポイント（出典：インフォサイエンス）

　この他、ファイルサーバログによる機密情報へのアクセス監視や入退室管理、複合機やプリンタの出力管理、そしてもちろんシステム障害の発見や原因究明など、多様な応用領域が考えられるのが現在の統合ログ管理ツールだ。

　ログの分析により、システムやネットワークのボトルネックが発見されることもある。丁寧に分析すれば、システムやネットワーク更改の際のキャパシティープランニングに役立てることも可能だ。ただし、製品により機能や性能に違いがあるので各製品の情報や事例をしっかりと確認する必要がある。