こんばんは。東京はちょっと暑くなってきました。
明日からは「第17回サイバー犯罪に関する白浜シンポジウム」
に行ってきます。会社変わったばかりなので、多くの業界人(?)な皆様にご挨拶して回るべく・・・よろしくお願いします。
さて管理者権限の話ですが、次に考えたいのは「管理者のログ」です。管理者権限があると何でもできるわけですから、コマンドなどの操作ログについても、その管理下にあるシステム内にあれば、自由に消去・改ざんができてしまうことになります。それでは、管理者権限を使った不正操作に対しては意味がありませんね。
実際に不正アクセス関連の事件では、侵入後ログを消されていた、というケースがあります。また攻撃者が使ういわゆる「rootkit」の中にはログを消すための「ログクリーナー」なるツールが含まれていることもあるようです。
2010年に米国で起きた大規模な攻撃・個人情報の流出事件では、その報告書を読むと、「ログを消されたので最終的に情報が漏洩したかどうかは明確でない」というような記述がありました。
つまり管理者の操作ログは、その管理下のシステム上に置いておいたら消されるので、別な場所で保全しておく必要があるということです。これはログを定期的に外部に転送し、そのシステムの管理者権限ではアクセスできないところに保管しておくようにしたほうが良い、ということになります。
2005年頃の個人情報保護法完全施行以来、多くの企業の方々がログ取得のシステムやツールを導入していますが、この「ログの保全」については意外にきちんと行われていないことも多いように思います。
ログ監査ツール製品などを導入する場合は、このログの保全がどのようにできて、どう運用できるか等も検討する必要があります。