サーバーの接続履歴を取ろう! 取得できる4つの履歴と2つのメリット!

ログ(履歴)って何?

クリード・コンサルティングの関口です。

今日は、情報漏えいや情報持ち出しの際に、直接的な証拠となる、サーバーへの接続の履歴(ログ)について、お話ししようと思います。

「ログって何? サーバーの接続履歴? 情報漏えいや情報持ち出しと関係あるの?」という人のために、はじめに簡単に説明をしますね!

ログ=履歴のことですが、ログを取得するソフトウェアやシステムを導入していると、サーバーへの接続の履歴や、その他のさまざまな履歴を取得することができます。

例えば、サーバーのファイルに接続した履歴、サーバーのファイルに接続し、サーバーからファイルをダウンロードした履歴、インターネットに接続した履歴、などです。

情報漏えいをするために、行われた、さまざまな出来事(イベント)ログ(履歴)を取れる、と考えると分かり易いかもしれませんね!

このような、イベントログを取得するソフトやシステムは、セキュリティや内部統制の一環として、多くの企業で、導入されています。

サーバーにある機密ファイルの情報漏えいや、情報持ち出しに関する事実を調べるときには、誰が、いつ、何のファイルにアクセス(接続)したか、誰が、いつ、何のファイルをサーバーからダウンロードしたか、などの情報が必要です。

この情報がないと、情報漏えいや情報持ち出しの事実があるのに、誰が、いつ、それを行ったのかを、特定するのが難しくなります。

従業員が数十名以下の企業さまでは、まだ導入していない、導入を検討中という場合が多いかと思います。

ここでは、ログ収集ソフトやログ収集システムで、取得ができる4つの履歴と、導入する2つのメリットについて、説明をしたいと思います。

 ◆取得できる4種類の履歴

取得できるログ

1 ファイルを操作した履歴

サーバーからの、情報漏えいや情報持ち出しは、通常、下記のステップで行われます。
1.機密情報が入っているサーバーや、共有のパソコンに接続(アクセス)する。
2.機密情報が入っているファイルを、サーバーから自身のパソコンにダウンロード(コピー)する。

ログ収集のソフトやシステムを導入していれば、上記の2つのアクセス(接続)のログ(履歴)を取ることができます。

具体的には、下記のようなアクセスログを取得できます。
誰が(〇部署 〇端末 〇ユーザ名)、いつ(〇年〇月〇日 〇時〇分〇秒)、何のファイルを(〇サーバの〇ドライブ〇フォルダ〇ファイル)、どうやって(移動、コピー、上書き、削除)

営業部の関口が、2018年5月8日 19時30分00秒に、サーバーに接続し、ファイルサーバーのCドライブにある設計図ファイルを、サーバーからコピーした、というようなイベントログです。
この履歴と、2018年5月8日 19時30分の営業部の関口の勤怠記録などを照合し、一致すれば、営業部の関口が、確かに、2018年5月8日 19時30分に、サーバーに接続し、サーバーから設計図ファイルを持ち出している、という証拠を掴むことができます。

「もっと違う方法で、持ち出せるんじゃないか?」と思った方もいるかと思います。
はい。その通りです。
いくつかありますが、ここでは、一例をご紹介します。

ファイルが格納されているサーバーは、外部のシステム会社が運営するデータセンター(セキュリティが強固なサーバールーム)に預けていたり、入退室が制限されている機密エリアに、サーバーが設置されているので、通常、情報システムの担当者やそれを管轄する役員など、一部の人間しか、サーバーに触れることができません。

しかし、情報システム担当者や、ネットワーク管理者が、サーバーから情報漏えいや情報持ち出しを行う場合には、会社のネットワークに接続せずに、サーバーから直接データを持ち出すことが可能です。

以前担当した案件では、システムを担当する社員が、サーバーに外付けハードディスクを直接接続し、大量のデータをサーバーから、持ち出していたケースがありました。
このような場合でも、ログ収集ソフトやシステムを導入していれば、サーバーに直接ハードディスクを接続した履歴を、後から追跡することが可能です。

2 外部メディアの操作履歴

情報漏えいや情報持ち出しを行うために、サーバーに接続し、サーバーから機密ファイルをダウンロードすることに成功した、疑いのある人物は、次に、その機密ファイルを自分の所有にしようと試みます。

よくある方法としては、USBメモリやSDカードなどの外部記憶媒体を、自分のパソコンに接続して、サーバーから機密ファイルを持ち出す手法です。

ログ収集ソフトやシステムを導入していると、下記のようなアクセスログが取得できます。
誰が(〇部署 〇端末 〇ユーザ名)、いつ(〇年〇月〇日 〇時〇分〇秒)、何のファイルを(〇サーバ 〇ドライブ〇フォルダ〇ファイル)、どうやって(移動、コピー、上書き、削除)、どこに(リムーバルメディア(USBメモリ、SDカードなど))

営業部の関口が、2018年5月8日 19時30分00秒に、サーバーに接続し、ファイルサーバーのCドライブにある設計図ファイルを、USBメモリに、コピーした、というようなイベントログを取ることができます。

3 印刷した履歴

金融関係の会社は、セキュリティが非常に厳しく、情報漏えいや情報持ち出しができないよう、あらゆるセキュリティ対策がなされています。

私は、これまで金融関係の会社の社内監査を行う部署の方と、お話をする機会が多くあったのですが、そのうちの一人はこんなことを言っていました。

「あらゆるセキュリティ対策をしているが、情報漏えいや情報持ち出しの手段として、最後に残っているのは、紙を印刷して顧客情報などを持ち出す手法です。」
「もちろん、ログ収集のシステムで、検知できるので、後から追えますが、未然に防止することはできません。」

紙を印刷して持ち出すというのは、インターネットが発達している時代に、古典的な手法ですが、よく使われる手法です。

従業員が数十名以下の会社さまでは、売上につながらない、高額なセキュリティ投資は必要ありませんが、少なくともログ収集のソフトやシステムを導入していれば、印刷した履歴を追うことが可能です。

ログ収集のソフトやシステムを導入していると、下記のようなアクセスログが取得できます。
誰が(〇部署 〇端末 〇ユーザ名)、いつ(〇年〇月〇日 〇時〇分〇秒)、何のファイルを何枚何色でどのプリンタで印刷したのか。

営業部の関口が、2018年5月8日 19時30分00秒に、サーバーに接続し、設計図ファイルを、50枚、カラーで、営業部のレーザープリンタで印刷した、というようなイベントログを取ることができます。

4 インターネットにアクセスした履歴

サーバーから機密ファイルをダウンロードすることに成功した人物は、そのファイルを、グーグルドライブなどのクラウドストレージにアップロードする可能性が高いです。

「グーグルドライブ?」「クラウドストレージ?」という方のために簡単に説明します。
ファイル、画像、動画などをインターネットの特定の空間に、保存したり、共有できるサービスのことです。
会社のサーバーが、インターネット上にあり、そこにデータが保存できる、というようなイメージです。

私は、グーグルが無料で提供している、グーグルドライブというサービスを、利用しているのですが、自分のパソコンにあるファイルのバックアップをするために、利用しています。
無料ですし、大容量のファイルや動画を、クリック一つで、簡単にバックアップできるので、よく利用しています。

また、恐ろしいことに、他人とファイルを共有したり、自分のパソコンのデータと同期したりできます。
競合会社を設立しようと、会社内の複数人で結託している場合、グーグルドライブなどを利用して、機密ファイルの共有する可能性が高いです。

ログ収集のソフトやシステムを導入していると、下記のようなアクセスログが取得できます。
誰が(〇部署 〇端末 〇ユーザ名)、いつ(〇年〇月〇日 〇時〇分〇秒)、何のホームページに、アクセス(接続)したのか。

営業部の関口が、2018年5月8日 19時30分00秒に、何のホームページにアクセスした、というようなイベントログです。

残念ながら、どのホームページにアクセス(接続)したのかは分かりますが、何のファイルをアップロードしたのか、まだは分かりません。

したがって、グーグルなどのクラウドストレージを利用して、情報漏えいや情報持ち出しが行われた場合には、機密ファイルにアクセス(接続)した足あとがある前後の、様々な状況の証拠を積み上げていく必要があります。
対象者のパソコンを調べていかないと、必要な証拠が見つからない可能性もあります。

◆ログ収集ソフトやシステムを導入する2つのメリット

導入メリット

メリット1 情報漏えいや情報持ち出しの証拠を、掴むことができる

これまで、ログ収集ソフトやシステムを導入していれば、様々なイベントログ(出来事の履歴)が、取得できることを、説明しました。
1.サーバーや共有のパソコンに接続し、ファイルを操作した履歴
2.外部メディアを使用した履歴
3.印刷した履歴
4.インターネットにアクセスした履歴

「本当にこれだけで十分なのか?」と、思われるかと思います。
もちろん、これだけでは十分ではありません。

サーバーの機密ファイルにアクセス(接続)した日時、サーバーから機密ファイルをダウンロードした履歴(ログ)の日時と、勤務記録や入退室の履歴などと、照合する必要があります。
また、最終的には、本人とのインタビューにより、自白を取る必要があるでしょう。

しかし、少なくとも、ログ集ソフトやシステムを導入し、そのアクセスログを取得することで、重要な証拠の一部を掴むことができます。

メリット2 情報漏えいや情報持ち出しを、抑止する

話が逸れますが、新聞などを読んでいると、ギャンブルや愛人のために借金があり、会社や銀行のお金を盗んだというニュースを、よく目にします。

人間は弱い生き物なので、借金があったり、生活に困っていたり、会社に恨みがあったりして、お金を盗む動機があり、また、お金が盗める機会があると、行動に移すことがあります。

もちろん、そのような機会があっても、行動に移す人と移さない人がいるので、その人が持つ、資質や性質、考え方に依存します。

個人的に抱えている問題でもあるので、お金を盗む背景にある、個人的な動機を防ぐことは、難しいです。
しかし、情報漏えいや情報持ち出しができる、機会をなくしたり、できないような環境を作ることは可能です。

機会をなくすことで、情報漏えいや情報持ち出しを抑止することが可能です。

ログ収集ソフトやシステムを導入し、それを従業員に周知することで、情報漏えいや情報持ち出しの抑止につながります。

まとめ

まとめ

ここまで、ログ収集ソフトやシステムで取得できる4つの履歴(ログ)と、導入する2つのメリットについて、説明をしました。

ログ収集ソフトやシステムを導入していない中小企業の社長さまは、「導入するメリットは理解したけど、費用対効果が見えない」「導入費用やランニングコストが高いのでは?」「専任の管理者が必要なのでは?」と思われると思います。

確かに、セキュリティの製品は、会社の売り上げに直結しないので、従業員が数十名規模の会社さまでは、導入に躊躇されるケースが多いのも事実です。

「外部記憶媒体をパソコンに接続できないようなシステム」を導入したり、「ファイルを外部に持ち出しても認識できないようハードディスクを暗号化するシステム」のような、セキュリティレベルが高い製品は、高額の費用がかかるので、導入に躊躇されるのは当然です。

そしてそのような製品を導入した結果、業務の柔軟性が失われる可能性もあります。

しかし、副業解禁などの世の中の流れに伴い、情報漏えいや情報持ち出しのリスクが高まっているのは事実です。

情報漏えいや情報持ち出しを未然に防止できなくても、後から追跡できる、最低限のセキュリティ対策は必要です。

また、ログ収集のソフトやシステムの中には、専任の管理者が必要なものも多くあります。
大規模なシステムになると、専任の管理者が、さまざまなイベント(出来事)を、専用のビューアー(専用モニター)で監視するようなものもあります。

しかし、従業員が数十名以下の企業さまでは、専用の管理者や、イベントビューアーのようなものは必要ないでしょう。
情報漏えいや情報持ち出しの事実を、後から追跡できれば十分です。

最近は、従業員が数十名以下の企業さまでも投資ができる、初期費用、ランニングコストを抑えた製品が複数ありますので、導入を検討してみてもいいかもしれません。

当事務所でも、システム管理者・ネットワーク管理者などが不要で、初期費用、ランニングコストを抑えた製品を扱っていますので、必要があれば、参考にしてみてください。
管理者不要、コストを抑えたログ収集システムはこちら