LinuCシステムアーキテクト SA02試験の例題と解説
SA.07.3収集したデータの保全と分析
LinuC システムアーキテクト SA02試験の出題範囲から「SA.07.3 収集したデータの保全と分析」についての例題を解いてみます。
例題
セキュリティインシデント発生時の原因調査などに活用できるように、システムの各種ログを収集、保全することを考える。この際に考慮すべき点として不適切なのは次のうちどれか。
- 機密情報や機微情報などがログに書き込まれないように設定する。
- ログの解析時に判別がしやすいように、各種ログ中の日付時刻などを共通の形式にする。
- 改ざんを防止するために、収集したログを定期的に書き換え不能な外部媒体やイミュータブルストレージに移動する。
- システムの動作を正確に把握するため、Severity が Error や Warning 以上のログだけでなく、全 Severity のログを収集する。
※この例題は実際の試験問題とは異なります。
解答と解説
不適切なのは、「4. システムの動作を正確に把握するため、Severity が Error や Warning 以上のログだけでなく、全 Severity のログを収集する。」です。
全 Severity のログを収集するということは Debug レベルのログまで含まれることになります。Debug レベルはそのシステムやアプリケーションのテスト中の問題判別などのために用いられるものであり、これが記録されていることで (ない場合と比べて) セキュリティインシデントの原因特定が進むとは考えにくいです。一般的にログのすべてを収集するというアプローチは、ストレージのコストやログ解析時の手間といった観点から効率的ではないと言えます。目的に応じて必要十分なログの種類を検討することが重要です。
選択肢 1,2,3 はログの保全の際に考慮すべきこととして適切です。機密情報や機微情報を含まないように設定することで、万が一非公開情報を含むログが流出した場合でも、リスクを最小限に抑えることが可能です。また、ログの日付時刻などを共通の形式にすることで、ログファイルが大規模になった場合でも解析が容易となります。さらに、不正アクセスにより攻撃者が内部に侵入している場合、自身の行動の記録を削除して証拠隠滅を図る可能性もあるので、その予防として書き換え不能にすることは有用です。
例題作成者
LinuC システムアーキテクト 試験開発コミュニティ