情報システムが必要不可欠な社会インフラとなるには、安定してサービスを提供し続けることが重要となってくる。そのためには、情報システムを常時 監視し、障害の兆候を未然に察知して予防したり、障害発生時の原因追求・復旧作業を迅速に行なうことが求められる。また、近年頻発している情報漏えい事件 においても原因を特定することが求められる。そこでOSやアプリケーションの出力するログを見ることになるが、現状では、ログは取っているが解析までは行 なっていないところが多い。 その理由として、
- ログ解析の方法が分からない、手法が確立されていない、いいツールが無い。
- ログのファイルサイズが膨大であり、調査に時間がかかる。
- ログのフォーマットが、OSやアプリケーションによってまちまちである。
等、自動化は難しいが手作業で行なうには膨大な時間がかかってしまうという点があげられる。
そこでログ解析のロジックを模索し、自動化により解析作業者の負担を軽減することを研究したい。解析が自動化できれば、復旧作業も自動化へと発展し、より 安定したサービス提供の実現が期待できる。その他、管理者アカウント(Administrator、root等)を複数の人が共有して使っており、ログを 見ても誰がアクセスしたのか区別できないという問題があるが、これにはSELinux等のセキュアOSが期待される。SELinuxでは、誰がどのアプリ ケーションを使用してどのリソースへのアクセスを許可/禁止するのか細かく設定した上でログに取ることが出来るからである。
証拠保全技術
情報システムの社会への浸透度が高まるにつれて、情報システムの障害が他者へ悪影響を及ぼす影響度が大きくなる。企業の存続や人命にまで影響が及ぶようになってくると法廷で争うことになり、証拠が求められるようになる。
紙の文書であれば、紙・インクの成分の違いや修正液で消した跡など判断となる材料があるが、情報システムで扱うデジタル情報は痕跡を残さずに複製や改ざん がしやすいため信憑性を証明しにくい。また、証拠が残っていても、調査員の操作により消えてしまう可能性がある。また、ログを記録するようにシステムを構 築していても、ウイルスやトロイの木馬等に改ざんされていないのか、第三者から客観的に証明可能な証拠を残せる技術である。