ログ監視設定と異常ログ検知のやりかた
ログ監視の重要性:デジタルな「足跡」を追う
- ログはシステムで「いつ、誰が、何をしたか」を記録する唯一の証拠であり、サイバー攻撃の予兆や痕跡を早期に発見するための生命線となる。
- 正常な状態のログ(ベースライン)を知ることで、初めて「異常な動き」を特定できるようになる。
- 攻撃者は侵入後、自分の足跡(ログ)を消去しようとするため、ログを「別所に保存(転送)」し、改ざんを防ぐ対策が不可欠。
- リアルタイムでの監視が難しいSOHO環境では、後から調査可能な「保存」と、重大なエラー時の「通知」を組み合わせるのが現実的である。
監視すべき主なログの種類
- 認証ログ(ログイン履歴): 成功・失敗を問わず、管理画面やサーバーへのログイン試行を記録する。深夜のアクセスや連続した失敗は攻撃のサイン。
- 接続ログ(ファイアウォール/VPN): どのIPアドレスから通信があったかを記録する。海外や身に覚えのない場所からの接続をチェックする。
- システムログ(OS/NAS): OSの起動・停止、設定の変更、ハードディスクのエラーなど、機器自体の不調や不正な操作を記録する。
- ファイルアクセスログ: 共有フォルダ内の重要ファイルに対して、「誰がいつアクセス・削除・変更したか」を追跡する。
異常ログ(アノマリー)を見分けるポイント
- 「短時間での大量の失敗」: 数秒の間に数十回のログイン試行がある場合、機械的な総当たり攻撃(ブルートフォースアタック)の可能性が高い。
- 「普段と異なる時間帯・場所」: 深夜3時のログインや、日本国内での運用なのに海外からのアクセスがある場合は、アカウント漏洩を疑う。
- 「不明な管理者アカウントの作成」: 自分が作成した覚えのないユーザー名がログに登場したら、システムを乗っ取られている最悪のケースを想定する。
- 「大量のファイル書き換え」: 短時間に数千個のファイルが変更・削除されているログは、ランサムウェアによる暗号化の典型的な動き。
実践的な監視設定の手順
- ログの保存期間の設定: 最低でも「3ヶ月〜半年」程度のログを保持できるよう、ストレージ容量を確保する。
- 通知機能(アラート)の有効化: 「ログイン失敗」や「ディスク異常」を検知した際、即座にメールやチャット(Slack/LINE等)へ通知が飛ぶように設定する。
- 時刻同期(NTP設定)の確認: 機器間の時刻がズレていると、被害発生時のタイムラインがつながらなくなるため、常に正確な時刻に同期させる。
- ログ転送の構築(中級者向け): NASやルーターのログを、別のサーバー(Syslogサーバー)やクラウドストレージへ自動転送し、本体が壊されても証拠が残るようにする。
ログを「お守り」にしない運用ルーチン
- 定期的な「生存確認」: ログが正しく記録され続けているか、通知テストが機能しているかを月に一度は確認する。
- 異常検知時の「初動マニュアル」との連動: 異常ログを確認した際、次にどのネットワークを遮断し、誰に連絡するかを事前に決めておく。
- 不要なログのフィルタリング: 正常な通信まで通知させると「通知慣れ」して見逃すため、重要度の高いログだけを通知対象に絞り込む。
