●深く知る
ITシステムのセキュリティ監査ログを確認することは、アクセス制御メカニズムが意図したとおりに機能していることを確認する最も簡単な方法の1つです。NIST Special Publication 800-92は、次の種類のログを収集して監査する必要があることが記載されています。ネットワークセキュリティソフトウェア/ハードウェアでは、ウイルス対策ログ、IDS / IPSログ、リモートアクセスソフトウェア(VPNログなど)、Webプロキシ、脆弱性管理、認証サーバー、ルーター、ファイアウォールを監査対象とし、オペレーティングシステムではシステムイベント、監査レコード、アプリケーション、クライアント要求とサーバー応答、使用状況情報、重要な運用アクションを監査するべきログとして記載されています。
セキュリティ監査ログは、ログの収集は自動的に保管され、安全に保管され続け、管理者に対してもアクセス制限されている必要があります。中央リポジトリは変更されることはありません。整合性を確保するために、セカンダリコピーと比較されます。ログを継続的に保持するため、数千万行のログ情報が存在する可能性があります。この検索を自動化するシステムも実装する必要があります。 監査記録管理するにあたって、共通した問題があります。ログのレビューが定期的に行われていない、もしくは取得から時間がたっている。監査ログと監査証跡が十分な期間保存されていない。エラーなど結果の悪い監査ログのみレビューする。