メニュー

サーバー・ストレージお役立ちコラム

メニュー

サイバー攻撃対策

ファイルサーバーのアクセスログ取得方法

ファイルサーバーのアクセスログ取得方法

ファイルサーバーを導入する上で考えておきたいのがアクセスログの取得です。アクセスログにはどのような役割があり、またどのような方法でアクセスログを取得すればよいのかなど、ファイルサーバーのアクセスログについて解説します。

ファイルサーバーのアクセスログ取得・監視はセキュリティ対策に効果的

ファイルサーバーのアクセスログとは、ファイルサーバーに対するクライアントPCなどの端末からの接続や操作の履歴のことを指します。アクセスログには通常、日時や送信元・送信先のIPアドレスや命令の内容などが記録されます。すなわち、いつ、どの端末を使って、どのような操作がなされたかなどが分かります。

ファイルサーバーは多くの企業で業務に必要なデータの共有や交換、管理に利用されています。しかし、便利な半面、重要なデータの流出というリスクを常に抱えているともいえます。とくに近年では、内部犯行ともいえる関係者などによる重要データの不正持ち出しや情報漏えいが発生し、大きな問題となっています。つまり、社内の人間によるファイルサーバー内の情報の持ち出し、あるいは外部からの不正操作による情報の剽窃によって、企業経営に深刻なダメージが及ぶ危険性が高くなっています。

アクセスログの取得・監視は、これらファイルサーバーからの重要データの流出を抑制するために役立ちます。また、被害が発生したときの原因究明にも効果が期待できます。例えば従業員などが不正にファイルサーバーからデータを持ち出した場合はアクセスログをその証拠として提出することができるでしょう。あるいは外部からの不正アクセスがあった場合も、アクセスログによってその事実を証明することが可能です。

ファイルサーバーのセキュリティ対策としては、サイバー攻撃を防御するためのウイルス対策ソフトや、サーバー、クライアントPC、スマートフォン、タブレットなどのネットワークに接続された端末をサイバー攻撃から守るエンドポイントセキュリティなども有効です。それらに加えて、ファイルサーバーのアクセスログを取得・監視することで、より強固なセキュリティ環境を作り上げることができます。

アクセスログを取得する2つの方法

アクセスログを取得するにはいくつか異なる方法があります。ここでは代表的な2つの方法をご紹介します。

パケットをキャプチャする方法

ファイルサーバーと端末間のネットワーク上でやりとりされるパケットを取得し、その情報を解析してアクセスログを生成する方法です。ファイルサーバーに対するすべてのアクセスを高い精度で監視可能です。また、Windowsだけではなく、Linuxなど他のOSで動くファイルサーバーでもログ取得できます。

取得できる情報は、アクセスの発生日時、クライアント・サーバーのIPアドレス、クライアントOS、ユーザーアカウント名、ログオン・ログオフ・リード・コピーなどのメッセージ、対象リソース・オブジェクト名、接続中の共有名などです。また、使用するツールにもよりますが、稼働状況のモニタリング、ファイルやフォルダに設定されているアクセス権の設定変更監視、異常なログを検知したときのアラート通知などの機能が備わっている場合もあります。

Windowsのイベントログを収集する方法

Windowsに備わっているイベントログ機能を使ってアクセスログを収集する方法もあります。例えばファイルアクセス関連ではログイン、ファイルオープン、ファイルアクセス、ファイルクローズ、ログオフなどの情報をイベントログに残すことができます。

イベントログにはアクセスログ監視のために必要のないデータも含まれるため、ログのサイズが大きくなるなどの問題もあります。しかし、その中から必要な情報のみを抽出してアクセスログとして収集するものなど、イベントログをファイルサーバーのアクセスログとして利用するためのツールも存在します。

アクセスログを管理するときの注意点

アクセスログを管理する際は、まずシステムの時刻を同期しておく必要があります。同期が取れていないとログファイルの正確さが損なわれ、検査や監視にも支障をきたすおそれがあります。

また、取得したアクセスログは定期的に確認することが必要です。当然ながらログを取得するだけでは意味がなく、問題があったときにそれに気がつく必要があるからです。問題を検知してアラートを発するようなソリューションの活用も有効でしょう。

その他には、アクセスログのバックアップを取っておくこと、そして何か問題が起きたときにいつでも見直せるように長期間、保存しておくことも必要です。保存期間は各企業で決めるべきですが、不正が起きてしまった場合はその事実が数年後に発覚するケースもあります。ファイルサーバーのアクセスログを監査証跡の一種と考えるなら、3~5年分は保存しておくべきでしょう。

ファイルサーバーを運用するにあたり、アクセスログの取得は必須といってよいほど重要度を増しています。自社にとって最もマッチする取得方法を選び、有効に活用してください。

pagetop

©  サーバー・ストレージお役立ちコラム
All rights Reserved.