問1 各社内サーバのログを相互に参照するようにした場合、ログ設定以外にも
システム的な設定変更が必要だが、これは何か
問2 ログに対する脅威とは何か
問3 各社内サーバのログを専用のログサーバに保存することは、問2の脅威の対抗策と
なる理由を述べよ
問4 なりすましの発生をログの監視によって直接検知することができない理由を述べよ
問5 ログの監視によって、ログイン・ログアウトのパターンが普段と異なっているアカウントを
発見するために普段から行っておくべき内容を述べよ
「解答」
問1 各サーバの時刻を合わせる設定をする
NTPによる時刻同期
問2 ログの改ざん
問3 各サーバのログとログサーバのログを比較すると、ログの改ざんが行われたかどうか
容易に確認できる。
また、各サーバのログを消去されても、ログサーバのログがバックアップを果たすことが
可能だから
改ざんの検出、バックアップ
問4 アカウント名や送信元IPアドレス等のログ情報では、借りたアカウントでアクセスしたか判断できない
問5 アカウントごとにアクセスした時刻、送信元IPアドレス、状態コード(ログイン成功の可否)等の情報を
一元管理し、その内容を記録しておく。