皆さんは、もしWebサイトに不正アクセスが発生した場合、どのように対応しますか？インシデント発生時の原因究明や対策には、サーバのログが非常に重要な役割を果たします。今回は、Webサーバのログ収集について、特にインシデント調査（フォレンジック）に必要な視点から解説します。

サーバのログ収集が重要な理由

サーバのログは、いわばサーバの行動記録です。この記録を詳細に保存しておくことで、問題が発生した場合にも、その原因を究明することができます。しかし、ログが適切に保存されていなければ、インシデント調査が難しくなり、結果として適切な対策を講じることができなくなってしまいます。そのため、ログの収集・保存がインシデント対応を行う上で重要となります。

ログ収集の3つのポイント

ここでは以下3点に焦点をあててログ収集を紹介します。

1. ログはリモートに保存しよう
2. ログの保存期間を把握しよう
3. ログの種類と内容を把握しよう

ログはリモートに保存しよう

サーバに侵入した攻撃者は、まず最初に証拠隠滅のためにログを削除したり、改ざんしたりしようとします。そのため、ログをサーバ本体とは別の、安全な場所に保存（リモート保存）することが重要です。

リモート保存の３つのメリット

• データの安全確保

  サーバが故障したり、攻撃を受けてもログが失われるリスクを減らせます。

• 長期保存

  大量のログデータを長期にわたって保存できます。

• 分析の効率化

  複数のサーバのログを一元管理し、効率的に分析できます。

具体的な方法

• Syslogサーバの利用

  ネットワーク内のログを収集する専用のサーバです。比較的設定が簡単ですが、Syslogサーバ自体が攻撃の標的になる可能性もあります。

• クラウドサービスの利用

  AWSやGCPなどのクラウドサービスには、ログを収集・保存するためのサービスが用意されています。容量や保存期間の管理が容易で、近年多く利用されています。

ログの保存期間を把握しよう

多くのサーバでは、ディスク容量の都合上、ログの保存期間が1ヶ月～3ヶ月と短く設定されていることがあります。しかし、インシデントの発覚から調査開始までには時間がかかることが多く、短い保存期間では必要なログが失われてしまう可能性があります。ログの保存期間を設定する際には以下を考慮しましょう。

1年以上の保存期間を検討しましょう。

最低でも半年間の保存が推奨されます。インシデントの潜伏期間や調査開始までのリードタイムを考慮し、十分な保存期間を設定してください。

リモート保存を活用しましょう。

リモート保存は大容量のログを長期保存する際にも有効です。ローカル保存は短期、リモート保存は長期など、用途に合わせた期間設定も有効です。

ログの種類と内容を把握しよう

Webサーバでは様々な種類のログが出力されます。以下に解析に有用なログの例を紹介します。

システムログ

サーバの起動・停止、ログインなどの「監査ログ」を含むシステムに関する情報が記録されます。

アクセスログ

誰が、どのページにアクセスしたかなどの情報が記録されます。

エラーログ

Webサービスで発生したエラーに関する情報が記録されます。

アプリケーションログ

Webアプリ固有のログが記録されます。仕様内での不正確認に有用な場合があります。

インシデントの種類によって、必要なログは異なります。例えば、Webサイトの改ざんを調査する場合は、エラーログを確認することで、攻撃によって発生したエラーを見つけることができるかもしれません。

特にエラーログは有用にも関わらず、保存されない場合や乱雑なデバッグログで解析が困難な場合も見受けられます。是非、保存と出力内容の整理を検討しましょう。

まとめ

Webサーバのログは、インシデント発生時の原因究明や対策に不可欠なものです。この記事で紹介した3つのポイントを参考に、ログ管理を徹底し、万が一の事態に備えましょう。