ロギングと監視の概念は新しいものではありませんが、組織は依然としてセキュリティに重点を置いたロギングと監視のポリシーを策定して実装するのに苦労しています。セキュリティチームは、従来の運用指標を収集するだけでなく、さまざまな攻撃を保存、分析、さらには軽減することもできるロギングおよび監視プログラムを構築する必要があります。情報を収集および分析するこのプロアクティブなアプローチは、「アプリケーションレベルのログ」によるコードの問題の検出、「AWS / Azureなどのインフラストラクチャログ」を用いて異常なネットワークトラフィックの特定など、さまざまな方法で開発者、システム管理者、セキュリティチームにとって役立つ情報が得られ、高度なセキュリティ情報およびイベント管理機能を使用して、セキュリティインシデントを検出および防止することが可能となります。これらのロギングと監視のベストプラクティスを採用することで、これらの課題に対処できるのです。
1. ログに記録して監視する必要性を定義
组织がログの记録を必要としている理由を特定することは、记録する必要があるものを定义するのに役立ちます。たとえば、下记は组织が必要とする可能性のある理由の一部です。
- コンプライアンスのため
- 法规制のため
- インシデントレスポンスのため
これらの目的について、セキュリティガバナンスチーム、法务部门、およびその他の利害関係者と话し合うことは、ログ记録と监视の目标を定义するのに役立ちます。
2. ログを記録する必要があるものと、それを監視する方法をリスト化
目标に基づいて、取得すべきメタデータとログに记録すべきイベントを决定します。ログに记録されるメタデータとイベントの例と理由は次のとおりです。
- PII/PHI トランザクションを HIPAA に準拠
- 金融取引を&苍产蝉辫;PCI DSS に準拠
- サーバーへの认証试行(ログインの成功および失败、パスワードの変更)
- サーバー上で実行されたコマンド
- データベース上で実行されたクエリー(特に顿惭尝クエリー)
インフラストラクチャ管理者とセキュリティチームは协力して従来の运用指标を収集して分析し、攻撃を軽减可能な、効果的なログの记録と监视のためのプログラムを构筑する必要があります。ログイン试行の复数回の失败やサーバーで実行されたコマンドの毎週の通知など、特定のイベントに関するアラートを设定して、これらのイベントを监视できます。また、开発チームと协力して、ログエントリのさまざまな属性が何を意味するのかを理解することも重要です。通常の操作のベースラインを取得したら、アプリケーションのセキュリティリスクプロファイルに基づいて、异常に対してトリガーされる相関ルール、集计、しきい値、およびアラートを构成できます。たとえば、すべてのログエントリには少なくとも次のものが必要です。
- アクター(谁が:ユーザー名、滨笔アドレス)
- アクション(何を:どのリソースへの読み/书き)
- タイム(いつ:タイムスタンプ)
- ロケーション(どこで:地図上の场所、ブラウザー、コードスクリプト名)
3. 監視する必要のある資産とイベントを特定
ログデータは、パフォーマンスとコストに影响を与える膨大な量のデータセットです。监视する必要のあるデータを决定するときは、まず何も残さないことから始めます。どのシステム/アプリケーションを监视する必要があり、どのレベルの监视が必要かを特定する必要があります。また、法で定められた、规制、または契约上の要件に従って、データとシステムを分类する必要があります。この分类は、セキュリティシステムの分类やビジネスデータの分类とは异なる场合があることに注意してください。
4. ロギングと監視のための適切なソリューションを決定
スケーラブルで復元力のあるロギングおよび监视プログラムを构筑する际に、商用製品とオープンソースプロジェクトの両方から选択できる多くのソリューションから选択することが可能です。ロギングや监视のアーキテクチャに最适なテクノロジーを选択することは困难な作业になる可能性がありますが、いくつかの重要なポイントは次のとおりです。
- 监视プロセスを可能な限り自动化
- 胁威の进化に応じて、アラートとログのソースを调整
- アラートとログが标準化されたフォーマットであることを确认
5. セキュリティを念頭に置いてロギングおよび監視システムを設計
ロギングおよび監視プログラムは、組織全体の活動を調査し、機密情報が含まれている可能性があるため、それ自体が組織の資産です。 それを保護するために考慮すべきいくつかのポイントがあります。
- イベントログの機密情報を事前に編集/マスク/匿名化して、機密情報が平文で記録されないようにします(例:PHI / PII情報)
- 搁叠础颁(ロールベースのアクセス制御)の适用
- ログの整合性チェックを実施して、ログが改窜されていないことを确认
- 保管时と输送时に暗号化を适用
- ログのソースを构成するときは、最小特権の原则に従う
- 保存および処理する前にログをサニタイズ
- 高可用性と冗长性のための机能を含める
6. 組織全体のログおよび監視ポリシーを採用
セキュリティチームと協力して、すべてのシステムのログ要件を詳細に定義する全社的なポリシーと手順を実施します。これにより、一貫性が確保され、ロギングでプロトコルと手順が実行されます。 強力な権限と企業の支援を受けたポリシーにより、ロギングと監視の慣行が確実に守られます。
7. アクティブな監視、アラート、およびインシデント対応計画を確立
强力なロギングメカニズムがなければ、组织はインシデントの発生する前、最中、および発生后に暗闇にさらされます。高度なシステムへの攻撃は、多くの场合、数か月または数年にわたって実行されます。あなたの组织はこのようなプローブを検出してブロックすることができるかどうか、モチベーションを持った攻撃者がその时间の间アプリケーションをゆっくりと分解し、検出されない场合、実际のエクスプロイトが発生する可能性が高くなります。このようなシナリオを防ぐには、次の手顺が不可欠です。
- インシデント対応计画を作成と定期的なリハーサルの実施
- 适切な时间内にアラートをトリガー
- アラートに対してアクティブな自动アクションを実行
安全なロギングおよび监视プログラムを构筑することは简単な作业ではありませんが、それはあらゆるアプリケーションアーキテクチャの不可欠な部分であり、意欲的で断固とした敌による高度な攻撃の検出とブロックに大きな违いをもたらします。别ラーニングコースを调べて、ロギングと监视のベストプラクティスの详细を确认してください。
すべてのコースのカタログを见る
アプリケーションセキュリティのベストプラクティス
Continue Reading
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
サプライチェーンのセキュリティリスクを担保する
