不十分なロギングとモニタリング

ロギングとモニタリングは、何か問題が発生したときに後回しにされがちだが、実際には、適切なロギングとモニタリングを確実に行わないと、非常に大きな代償を払うことになる。 

極端な話、インシデントが発生した場合（それがセキュリティに関連したものであろうとなかろうと）、ログがほとんどない、あるいはまったくないと、実際に何が起こったのかを把握することが不可能になる。もう一方の極端な例では、データを記録しすぎるとプライバシーの問題につながり、規制当局との問題に発展する可能性がある。

以下では、より良いロギングとモニタリングのためのベストプラクティスを紹介します。 

ベストプラクティス

優れたロギングとモニタリングのベストプラクティスを見てみよう。

機密機能の監査ロギング

ログインの試行（試行が成功したかどうかにかかわらず）、ユーザーアカウントの変更、機密データへのアクセス／変更、その他同様の事例などの機密性の高いイベントについては、監査ログを作成することが重要です。これは、一般ユーザーによるアクセスだけでなく、内部/管理ユーザーによるアクセスにも当てはまります。 

これらのログを取ることは、不正アクセスが発生したと考えられる場合、それが内部者であるか外部者であるかにかかわらず、極めて重要な意味を持つ。 

このようなイベントが発生した場合、イベントの規模と範囲を理解するために、誰がどのデータにアクセスしたかを説明できるようにすることが重要である。

エラーログ

エラーと警告のログを持つことは、アプリケーションの健全性を監視するための一般的なエンジニアリングのベストプラク ティスだけではありません。 

攻撃者が脆弱性を発見している最中には、大量のエラーや警告が生成されることがよくあります。

ログの集中保管

ログは常にリアルタイムで送信され、一元管理された場所に保存されるべきである。これは、SIEMによる分析のためにログをすぐに利用できるようにするためであり、サーバーに侵入した攻撃者がログを変更したり削除したりすることを防ぐためでもある。 

決められた期間ログを保持する

残念なことに、ほとんどの侵害は発見までに数日かかり、実際、20％の侵害は発見までに数ヶ月かかるという現実がある。情報漏洩から発見までにこれほど時間がかかると、何が起こったかを判断するために自由に使えるデータ源は、ログしかないことも多い。

そのため、明確に定義された期間のログを保存することは非常に重要である。PCIのような規格では、3ヶ月前のログに遅滞なくアクセスできることが義務付けられており、12ヶ月前のログは要求に応じて復元できなければならない。 

このアプローチは、潜在的なインシデントの調査を容易に開始できることと、ログのコールド・ストレージによるコスト管理のバランスをうまくとっている。 

PIIのログを定期的に監査する

ログは、潜在的なインシデントを調査するには最適だが、現実には、ログ自体がインシデントを引き起こすこともある。 

インシデントを調査するために必要な情報を含めることと、ログを記録しすぎることの間には絶妙なバランスがある。誤ってPIIをログに含めることは非常に簡単で、プライバシー規制の問題を引き起こす可能性がある。

PIIのログを定期的に監査し、確実に削除することが重要だ。

‍