ゼロトラスト時代のログ監査:IPアドレス・認証ログ・SaaS監査ログの見方
はじめに
デジタル化の急速な進展により、企業システムへのアクセス方法は多様化しています。 社内ネットワークからのアクセスだけでなく、リモートワーク、クラウドサービス、モバイルデバイスなど、様々な場所からのアクセスが日常化しています。
このような環境では、従来の「社内ネットワークは信頼できる」という考え方は通用しません。 すべてのアクセスを検証し、監視する ゼロトラスト ログ監査 が必須となります。
本記事では、認証ログ 分析、SaaS 監査ログ の見方、IPアドレス ログ の活用方法を詳しく解説します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ゼロトラスト時代の監査ログの重要性
なぜログ監査が重要なのか
セキュリティ事故が発生した場合、その原因を特定し、被害の範囲を把握するためには、詳細なログが不可欠です。 ゼロトラスト ログ監査 により、以下が実現できます:
- 侵害検知(Breach Detection) 不正アクセスの試みや、既に成功した侵害を早期に発見できる。
- 根本原因分析(Root Cause Analysis) 事故発生後、何が起こったのか、どこから侵害されたのかを特定できる。
- 監査対応(Audit Compliance) 個人情報保護法やISMS等の規制要件への対応が証拠により可能になる。
従来のログ管理の課題
多くの組織では、ログの管理と分析が不十分なままです:
- ログの保存期間が短い(数ヶ月程度)
- 複数のシステムからのログが統一されていない
- ログの分析が手作業で行われている
- 異常検知の仕組みがない
これらの課題を解決するには、体系的なログ監査戦略が必要です。
IPアドレス ログの活用方法
固定IPアドレスの重要性
ゼロトラスト ログ監査 において、IPアドレス ログ は基本的な情報源です。 従来の境界型セキュリティでは「社内ネットワークのIPアドレス」のみが信頼されていました。 しかし ゼロトラスト では、社内からであっても、それが正当なユーザーからのアクセスかを検証する必要があります。
固定IPアドレスを使用することで、異常なアクセス元を容易に検知できます。
異常なIPアドレスの検知
以下のような異常なIPアドレス パターン を検知することが重要です:
地理的に不可能なアクセス 短時間のうちに、遠く離れた地域のIPアドレスからのアクセスが検出された場合、それは不正アクセスの兆候かもしれません。 例えば、午前10時に東京からのアクセスがあり、その直後の10分後に米国のIPアドレスからアクセスがあれば、これは人間には物理的に不可能です。
未登録のIPアドレス 組織内で事前に登録された固定IPアドレス以外からのアクセスが発生した場合、直ちに調査が必要です。
VPN接続以外のアクセス 本来はVPN経由でアクセスすべき操作が、VPN接続なしで直接インターネットから行われていないか確認します。
⇒【ロリポップ!固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料!
IPアドレスログの収集と分析
ログ収集の対象システム:
- ファイアウォールログ すべてのインバウンド・アウトバウンド通信のIPアドレス、ポート番号、プロトコルを記録。
- Webアプリケーションログ アプリケーションにアクセスしたユーザーの IPアドレス を記録。
- VPNログ VPN接続元のIPアドレス、接続時間、接続先を記録。
- クラウドサービスのアクセスログ AWS CloudTrail、Google Cloud Logging等から IPアドレス を取得。
CloudTrailからIPアドレスを抽出する例
aws cloudtrail lookup-events
—region us-east-1
—max-items 100
—query ‘Events[*].[EventName,CloudTrailEvent]’
| jq -r ’.[1]’
| jq ‘.sourceIPAddress’
認証ログ 分析の実践的手法
認証ログとは何か
認証ログ は、ユーザーがシステムにログインした際の詳細情報です。
含まれる主要情報:
- ユーザーID ログインしたユーザーの識別情報
- ログイン元IP ログインリクエストが発信されたIPアドレス
- ログイン日時 ログインが試行された日時
- ログイン結果 成功(Success)or 失敗(Failure)
- 認証方法 パスワード認証、MFA、シングルサインオン(SSO)等
不正ログインの検知パターン
失敗が連続する: 同一ユーザーIDに対して、短時間のうちに複数回のログイン失敗が発生している場合、ブルートフォース攻撃の可能性があります。 通常は3回失敗後に一定期間アカウントロックを掛ける設定が有効です。
深夜のログイン: その従業員の通常の勤務時間外、特に深夜のログインが検出された場合、認証情報の盗難や内部の悪意あるアクションの兆候かもしれません。
複数の異なるIPから同一ユーザーID 短時間のうちに、複数の異なるIPアドレスから同一のユーザーIDでログイン試行が発生した場合、認証情報の漏洩が考えられます。
認証ログ分析ツール
主要なSIEM(Security Information and Event Management)ツール:
- Splunk エンタープライズグレードのログ分析プラットフォーム。複雑な検索クエリや相関分析が可能。
- Elastic Stack(ELK Stack) オープンソースのログ分析スタック。Elasticsearch、Logstash、Kibanaで構成。
- Sumo Logic クラウドネイティブなログ分析。リアルタイムの監視とアラート。
これらのツールを使用することで、手作業では気付きにくい異常パターンも自動検知できます。
SaaS 監査ログ の活用
SaaSプラットフォームの監査ログ
クラウド型の業務アプリケーション(GoogleWorkspace、Microsoft 365、Slackなど)は、利用状況を詳細に記録する監査ログを提供しています。
Google Workspace の例: 管理コンソール > レポート > 監査ログ から、以下の情報を取得できます。
- ユーザーのログイン・ログアウト
- ファイルの共有設定変更
- ユーザー削除・追加
- パスワード変更
- 外部共有の設定変更
Microsoft 365 の例
セキュリティとコンプライアンスセンター > 監査ログ検索 から、以下が可能です。
- メール送受信
- ファイルアクセス(SharePoint、OneDrive)
- ユーザー管理
- 管理者による設定変更
⇒【ロリポップ!固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料!
データ流出の兆候を検知する
SaaS 監査ログ から、データ流出の可能性を示す以下のパターンを検出します:
大量ファイルダウンロード 通常の業務では考えられない大量のファイルが、短時間のうちにダウンロードされている。
外部への大量共有 複数のファイルが、あっという間に外部のメールアドレスに共有されている。
深夜の異常アクティビティ 通常の勤務時間外に、異常な量のアクセスやダウンロードが記録されている。
管理者権限の悪用 管理者アカウントで、本来の業務と無関係なユーザーのメールボックスがアクセスされている。
ログ監査の運用フレームワーク
ログの保存と保持ポリシー
組織としてのログ保存方針を明確に定める必要があります。
推奨保持期間:
- 認証ログ 最低1年間。規制要件がある業界は3〜7年。
- ファイアウォールログ 最低3ヶ月。容量の都合で60日とする組織も。
- SaaS 監査ログ 各SaaSプロバイダの保持期間に従う。Google Workspaceは100日。
- アプリケーションログ 最低6ヶ月。本番環境は1年以上を推奨。
異常検知のアラート設定
手作業ではなく、自動化されたアラート機能を設定します。
異常検知ルールの例(SIEM設定)
rule: “Brute Force Attack Attempt” condition: | failed_login_count > 5 AND time_window = 15_minutes AND same_user_id action: “Alert and Lock Account”
rule: “Impossible Travel” condition: | login_from_ip_1 AND time_1 AND login_from_ip_2 AND time_2 AND distance(ip_1, ip_2) > 1000 km AND time_2 - time_1 < 2 hours action: “Alert Security Team”
インシデント対応への連携
異常が検知された場合、以下の手順で対応します:
- 自動アラート セキュリティチームにアラートが送信される。
- 初動調査 ログを詳しく確認し、本当に不正なのかを判断する。
- 影響範囲の把握 漏洩したデータはないか、どのシステムがアクセスされたのかを確認。
- 対応実行 必要に応じてアカウントをロック、パスワードをリセット等の処置を実行。
- 事後対応 再発防止策を実装し、関係者に報告。
ゼロトラスト ログ監査 チェックリスト
貴社のログ監査態勢を確認するために、以下の項目をチェックしてください:
- □ すべてのシステムのログが一元管理されている
- □ ログの保持期間が明確に定義されている
- □ IPアドレス ログ が収集・分析されている
- □ 認証ログ の異常検知が自動化されている
- □ SaaS 監査ログ が定期的に確認されている
- □ 地理的に不可能なアクセスが検知される設定になっている
- □ ブルートフォース攻撃検知機能がある
- □ ログの改ざん防止機能が実装されている
- □ セキュリティチームに24時間アラートが届く体制がある
- □ インシデント対応手順が定義されている
まとめ
ゼロトラスト 時代のセキュリティは、完全な可視化と継続的な監視が鍵となります。 IPアドレス ログ、認証ログ 、SaaS 監査ログ の3つのログソースを統合的に分析することで、組織全体のセキュリティ態勢が大幅に向上します。
本記事で紹介した手法を参考に、貴社のログ監査 体制を構築してください。
ロリポップ!固定IPアクセスでログ監査を強化
ゼロトラスト ログ監査 を実現するには、固定IPアドレスの管理が重要です。
ロリポップ!固定IPアクセスは、GMOペパボ株式会社が提供する固定IPアドレス対応のVPNサービスです。 月額490円(税込539円)〜という国内最安級の価格で、VPN経由でどこからでも常に同じ固定IPアドレスを使ってインターネットにアクセスできます。 高速かつ安全なVPNプロトコル「WireGuard」を採用しており、オンライン申し込み後すぐに利用を開始できます。 最大2ヶ月間の無料お試し期間も用意されているため、まずは気軽に導入テストが可能です。 社内システムへのアクセスを固定IPで統一することで、IPアドレス ログ分析が一段と効果的になります。
