アクセスログは、ハードウェアやソフトウェアへのアクセス形跡を記録したものです。アクセスログの収集により、悪意ある第三者やそのほかの不正なアクセスを見極め、早期に対応することができます。
本記事では、アクセスログの概要や必要性、取得によって分かることや取得時の注意点について紹介します。セキュリティ対策としてアクセスログを活用する際にご利用下さい。
また、DXを推進中の企業必見、DXにおけるセキュリティを通じた業務効率化についてまとめた資料を無料で配布しています。ぜひご活用ください。
アクセスログとは
アクセスログとは、IT機器(ハードウェア、デバイス)やソフトウェアへのアクセスを記録したデータです。サーバなどに接続を行い、利用したことを記録します。Webサーバ(HTTPサーバ)へのクライアントのアクセスを記録するアクセスログは、代表的な例といえます。
アクセスログで記録する内容には、アクセスの日時、アクセス元の所在(IPアドレスなど)、操作(メソッド)、アクセスがあったURL、アクセス元のブラウザ種類などがあげられます。後から利用状況を追跡調査できるよう、アクセスについて分かることを可能な限り記録します。
アクセスログ取得の必要性
アクセスログはさまざまな目的で取得されますが、最も重要なのは情報セキュリティに関連する用途です。サイバー攻撃を受けた、ないしは、情報漏えいなどセキュリティ上の問題が発生した場合に、被害状況や影響範囲の調査などの事後対応に必須となります。
ちなみに、その他には下記のような目的で取得されます。
- 利用状況の把握
- 内部統制
- 不正アクセスの把握によるセキュリティトラブルの予防
- 勤怠管理への活用
セキュリティ強化の手段としてのログ管理
先に記載した通り、アクセスログは情報セキュリティに関する利用が重要な用途の一つです。セキュリティ上の活用をスムーズに行うため、ログデータの加工、蓄積などの管理を行うことも珍しくありません。
通常、アクセスログはログファイルにテキストとして出力されます。サーバや機器へのアクセスが多ければ、大量のアクセスに対して一つずつログが残されます。
結果として、多くのアクセスが発生するサーバや機器のログファイルは巨大なテキストファイルとなりがちです。
アクセスログが多い場合には下記のような問題が発生します。
- テキストエディタなどでログの内容を確認する際に読みづらい
- 大量のアクセスがあった場合にファイルが大きくなりすぎてログが保持できない
- 過去分に遡って保持する必要がある
これらの問題への対処として、ログの管理のための仕組みを設ける場合もあります。
アクセスログの各情報を格納するシステムを用意する、ログファイルの世代管理を行うことなどが、セキュリティ対策としてのログ管理では行われます。
ISMSでもセキュリティ管理策としてログの取得が必要とされています。より詳しいアクセスログの取得が必要とされる理由については「アクセスログを取得することの重要性とは?保存期間やポイントも解説」も参照ください。
アクセスログの取得でわかること
アクセスログを取得することでどのようなことが分かるのでしょうか。
セキュリティに関する内容と、Webサーバのアクセス解析に関する利用について、具体的に説明します。
セキュリティ状況
アクセスログからは、不正なアクセスや異常なアクセスを検出することが可能です。これらのアクセスは、セキュリティインシデントの予兆といえます。早期にこれらの兆候を掴み、対策を実行することでインシデントの防止が期待できます。
また、情報漏えいなどのトラブルが発生した際に足跡を辿る目的でも、アクセスログは利用されます。ログ監視システムなどと連携することで、監視を自動化することも可能です。
不正アクセスの検出
サービスとして想定していないURLやパラメータを指定したアクセスがある場合、不正なアクセスである可能性が高まります。
また、同じIPアドレスで複数回にわたって認証が試行されている場合、サービスへの不正なログインが図られている可能性が高いです。これらの不正なアクセスをアクセスログで観察・検出することが可能です。
異常なアクセスの検出
アクセスそのものは正常に行われていても、異常な操作が行われている場合もあります。
例えば、大量のダウンロード操作が行われている場合、特定のファイルへのアクセスが繰り返されている場合、外部へのデータ送信が大量に行われている場合などは、異常な操作として検出できます。
Webのアクセスログ解析
Webサーバのアクセスログの場合、セキュリティ以外にも大きな用途が存在します。それがWebサイトへのアクセス情報を解析し、Webサイトの活性を高める用途です。Webサーバへのアクセスログを集計して分類することで、Webサイト運営のために役立てることが可能です。
Webのアクセスログ解析で取得される情報としては、一般的には下記があげられます。
- 各ページのアクセス数
- WebサイトのURLごとのアクセス数を知ることができます。Webサイト内のコンテンツの需要を推しはかる判断基準になります。
- アクセスの経路
- Webサイトへのアクセスは、どのようなページを経由してきたのかも大切な情報です。サイト運営上で注力すべき宣伝方法などを知るために利用されます。
- アクセスの多い時間帯
- アクセスの多い時間帯、曜日などからはユーザーの属性を推定するのに役立ちます。
- ブラウザの種別
- ブラウザの種別からは、Webサイトへのアクセスを行っているデバイスなど、ユーザー属性の推定に役立ちます。
- 直帰率
- ユーザーがサイト内の別ページを参照しているかどうかも、アクセスログ解析から知ることが可能です。こちらも流入したユーザーのサイトとマッチ度合いなどの判断基準に役立ちます。
セキュリティにおいては、こうした情報をもとにWebサーバにおける不審な操作やアクセスを検知し、サイバー攻撃を食い止めます。
アクセスログ取得の際の注意点
アクセスログの取得に際しては、ファイルの特性や運用上の注意点が存在します。
アクセスログへのアクセス管理
アクセスログはアクセスがあったタイミングの情報を記録することが重要です。
悪意ある攻撃者がアクセスログのデータを改ざんしてしまっては、元も子もありません。
このため、ファイルの権限管理および適切な保管が必要となります。
保存期間
情報漏えいなどの問題が発生した場合には、過去に遡ってアクセスログを検証することがあり得ます。
どこまで遡る必要があるかはケースバイケースなため、所属組織のセキュリティポリシーやログ保管のための記憶領域の都合などを考慮して保存期間を決定しましょう。
ファイルサイズ
頻繁にアクセスがある場合には、アクセスログのファイルサイズは大きくなります。
多くの場合、一定容量を超えた場合には新たなログファイルに切り替えるといった仕組みが取り入れられており、その容量は事前に指定しておきます。
このファイルサイズについては、大きい場合にはテキストエディタなどでの読み込みで不便であり、小さい場合にはファイルが細かく分断されるため管理に手間がかかります。
後に記載するログ管理サーバの構築も踏まえて、どのようなファイルサイズとするか慎重に決定しましょう。
アクセスログ管理にはログ管理サーバの構築が有効
アクセスログの管理については、ログ管理サーバやログ管理システムを導入することで利便性を高めることが可能です。ログ管理サーバやログ管理システムとは、発生したアクセスログを適宜加工しながら蓄積する仕組みです。ログの解析や可視化、レポート機能なども一般的な機能として提供されます。
また、製品によってはこの蓄積するログデータの中から不正なアクセス、異常アクセスを検知して通報を行う、監視システムとしての機能をもつ場合もあります。
まとめ
アクセスログとはIT機器やサーバに対するアクセスを記録したログで、代表例としてはWebサーバのアクセスログがあげられます。情報セキュリティにおいて不正アクセスや異常アクセスを検知する上で重要であり、Webサイト運営ではアクセス解析にも活用されます。
データの蓄積や見やすさを考慮して、ログ管理サーバなどを導入すると効率的です。
