ログ管理システム【平成27年度 秋期 基本情報技術者試験 午後 問1】
平成27年秋 基本情報技術者試験 午後 問1
問1 ログ管理システムに関する次の記述を読んで、設問1〜5に答えよ。
中堅の製造業であるB社では、他社で発生した情報漏えい事件を受けて、社内の業務システムへの不正アクセスを早期に検知するための仕組みを強化することになった。B社では、業務システムのアクセスログ(以下、ログという)を一元管理するために、ログ管理システムを構築することにした。ログ管理システムの対象になる業務システムは、図1のネットワーク構成図に示す、勤務管理システム、販売管理システム、生産管理システム及び品質管理システムの四つである。各管理システムには、1台のサーバが割り当てられている。
〔業務システムの利用とログの説明(抜粋)〕
B社の社員は、固定のIPアドレスが設定されている端末から、一意に社員を特定できる社員IDで、業務システムのうちの一つにログインし、”参照”、”更新”、”ダウンロード”の操作を行う。社員が、業務システムにログインしたときに”参照”のログがログファイルに書き込まれる。また、ダウンロードの都度、そのデータ量を記録したログがログファイルに書き込まれる。一人の社員が、同時に複数の業務システムを使わないこと、及び、業務システム全体からデータを1日に5Mバイトを超えてダウンロードしないことを業務システムの利用規定で定めている。
〔ログ管理システムの概要(抜粋)〕
業務システムの各サーバ上のログファイルにログが書き込まれると、各業務システムに組み込まれている検知処理が、ログの書込みを検知し、そのログをログ管理システムのサーバ上の業務システム別のログファイルに書き込む。書き込まれたログは、ログ管理システムのログ集積処理が、各業務システムのログを一元管理するログ集積ファイルに書き込む。ログには、業務システムを識別するための業務IDや、社員が実施した操作を示す、”参照”、”更新”、”ダウンロード”の操作履歴などが含まれている。
〔ログ管理システムの要件(抜粋)〕
(1)ログ集積ファイルを基に、いつ、誰が、どの端末からどの業務システムをどのように操作したかが追跡できる。
(2)ログ管理システムのサーバ上のログファイルに書き込む処理は、ログ管理システムへのログインを必要とする。
(3)ログ管理システムの管理者(以下、ログ管理者という)と業務システムの管理者(以下、業務システム管理者という)だけが、ログ集積ファイルを参照できる。
(4)ログ管理者は、ログ集積ファイルをログ管理システムから外部の機器に出力することができる。
(5)ログ管理システムから外部の機器に出力される外部ログ集積ファイルには、改ざんと漏えいを防止する対策を講じる。
(6)各サーバ間の通信には、公開鍵暗号方式を利用する。
(7)①ログ集積ファイルに書き込まれたログが一定条件を満たした際には、電子メールでログ管理者に通報する。
ログ管理システムの要件を満たすために、日時、操作種別以外で全てのログに共通して含むべき項目:端末のIPアドレス、業務ID、社員ID
ログ管理システムの要件は、「いつ、誰が、どの端末からどの業務システムをどのように操作したのかが追跡できる」ことです。
「いつ」は日時、「誰が」は社員ID、「どの端末から」は端末のIPアドレス、「どの業務システムを」は業務ID、「どのように操作したのか」は操作種別が相当し、全てのログに共通して含むべき項目です。
ログ集積ファイルを基に、業務システムへの不正アクセスを早期に検知するために、①の一定条件とは(同じ社員IDのログに対する条件):ある業務システムの連続した”更新”のログの間に、別の業務システムのログが書き込まれたとき/業務システムからダウンロードされたデータ量が1日で5Mバイトを超えたとき
業務システムの利用規定として「一人の社員が、同時に複数の業務システムを使わないこと、及び、業務システム全体からデータを1日に5Mバイトを超えてダウンロードしないこと」が挙げられています。
これに該当する条件になります。
〔ログ管理システムの概要(抜粋)〕及び〔ログ管理システムの要件(抜粋)〕を基に、表1のログ管理システムの仕組み(抜粋)と、表2のログ管理システムへのアクセス権限表(抜粋)を作成した。
a:各業務システムの時刻を同期させる
業務システムの操作で、「誰が」と「どの端末から」についてはログ集積ファイルから読み取ることが可能です。
同じく「いつ」についても読み取ることか可能ですが、その時刻は各業務システムが付与したものです。
それらから生成したログ集積ファイルでは、各操作の時刻の同期が取れていないと順序関係が整合が取れず、ログの解析が正しく行えません。
したがって、各業務システムの時刻を同期させることが重要です。
b、c:ログ集積ファイルに電子署名を付加する/ログ集積ファイルを暗号化する
改ざんの防止策とくれば電子署名付加による改ざん検知、漏えいの防止策とくれば暗号化が有効です。
【出典:基本情報技術者試験 平成27年度秋期午後問1(一部、加工あり)】
d1:可、d2:W
検知処理について、「各業務システムに組み込まれている検知処理が、ログの書き込みを検知し、そのログをログ管理システムのサーバ上の業務システム別のファイルに書き込む」とあります。
また、ログ管理システムへの書き込み処理について、「ログ管理システムのサーバ上のログファイルに書き込む処理は、ログ管理システムへのログインを必要とする」とあります。
したがって、検知処理の「ログ管理システムへのログイン」は「可」となります。
また、検知処理はログをログファイルに書き込む必要があり、参照や外部出力については記載がないため、書込みの「W」となります。
業務システムの検知処理はログ管理システムのサーバ上のログファイルへ書き込む。この通信を暗号化するために最低限必要な公開鍵の数:1
四つの業務システムとログ管理システム間で公開鍵暗号方式を利用することになりますが、公開鍵暗号方式で使用する公開鍵と秘密鍵のペアは、1対多の通信で利用することができます。したがって、最低限必要な公開鍵の数は「1」です。