パソコン端末の操作ログと、ネットワーク通信ログ

スワットカメラ

2012年11月15日

内部統制とか、ISMS、Pマークの運用などの話題になると、良く提案される「ログ取ってますか？」「ログを取る仕掛けはありますか？」という話し。

ご経験があるかと思います。

そして、パソコン端末に…

などを導入されている企業や団体などが多くなりました。

これ以外にも、サーバのアクセスログや、サーバアプリの動作ログなど色んなログを取得し運用されていると思います。

これらの”ログ”は、どうして必要なんでしょうか？

とあるお客様とそんな話をしました。

など、様々な目的があるようです。

しかし、こんなケースではどうなりますか？

Webサイト経由で内部からファイルが流出したかもしれない。

端末のログを探します。そしたら、とあるサイトにアクセスしている記録がありました。そのURLを探し出して、怪しいサイトが判りました。

そして、そのURLへアクセスしてみました。
しかし、ファイルをアップしたような記録はありませんでした。
なぜなら、そのサイトは、端末ログに残っていた時から比較すると数カ月の時間が過ぎていたので、もうサイトの掲載内容が変わっていたので結局、具体的なファイルの流出が確認できませんでした。

さて、ではどうします？

お客様は、困った顔をされました。
そして「それは、もう仕方ないですね。」と言われました。

そこで、PacketBlackHole をご紹介しました。

PacketBlackHole は、ネットワークの通信内容を、通信パケットの状態で、専用サーバに記録し保管します。
その保存したデータは、管理者であっても削除も改変もできません。
つまり、改ざん出来ないデータとして保管されます。

そして、最も大切なのは、「実際に通信した時、その時の内容を、そのまま記録保存している。それは、保存されたデータがある限り、時間が過ぎても同じ内容を再現できる」というものです。

これが、ネットワーク通信ログになります。

PacketBlackHole の保存データがあれば、何度でも「再現」が出来ます。

パソコン端末で記録した、端末操作ログだけでは「事実の確認」ができません。
PacketBlackHole によって、その時の通信を再現することで、事実を確認することができます。

システムの監査目的や、ISMS、Pマークの運用、そして、リスクマネージメントを考えると、PacketBlackHole は必須です。

パソコン端末のログと組合わせて、PacketBlackHole を運用することでネットワーク利用全体の管理や監査という目的が達成できるようになります。

(Vol.64)