今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は7.8章:ログの分析及び管理のCheck問題です。
【Q1】ログ分析によってどのような事象を発見することが可能となるか。
①内部ネットワークからインターネットへの不審なファイルの送信
②内部に侵入したマルウェアなどによる不審な通信
③一定時間内に何度も繰り返し行われるログインの試み
④管理者権限を取得しようとして何度も失敗している一般ユーザの存在
⑤システム管理者の認識していない設定変更
【Q2】ログ分析によってなりすまし行為を発見するためにはどのような方法があるか。
①各ユーザの平均的なシステムの利用時間や利用時間帯の情報を蓄積しておく
②各ユーザが使用しているIPアドレスおよびアプリケーションを蓄積しておく
【Q3】ログを安全に保存するための対策として、どのような方法があるか。
十分なストレージ容量を確保したログ保存専用のシステムを構築するなどして、ログを必要な期間に渡って安全に保存(保全)でき仕組みが必要。
統合ログ管理システムを用いたり、SIEMと専用ストレージの組み合わせなどで実現する。
【Q4】ログの分析における留意点について述べよ。
標準的な設定では十分なログがでなかったり、不要なログが大量に出力されたりする場合がある。目的に応じて取得すべきログを明確にする必要がある。
ログをすべて保存しているとストレージの使用量が膨大になる。目的に応じてログの保存期間や管理方法を策定する必要がある。
ログの分析及び運用管理を行うための要員を確保するとともに、教育/訓練を実施する必要がある。
私が使っているのは2022年版のテキストですが、2024年版も出ています。