概要
計算機内のログは,計算機システムの運用管理において必要不可欠な情報源である.一方,それゆえに悪意ある人によって改ざんされたり,削除されるという脅威がある. 逃げログは,計算機のログを悪意ある改ざんや削除から保護する手法であり,ライブラリとして提供される. ログを出力するシステムに対して本ライブラリを適用することで,ログ保護機能を追加することが可能である.本手法の特徴は,次の通りである.
  1. バックアップの複数生成
    計算機ログは,複数生成される.つまり,計算機ログのバックアップが複数生成される.
  2. バックアップの同時生成
    生成されるログは,すべてリアルタイムでログが出力される.つまり,本手法によって生成される複数のログは,あらゆる時点において,常に同じ記録内容となる.
  3. バックアップの所在不明化
    生成されるログは,その所在が不明になる.つまり,本手法によって生成されるログは,それらが計算機内のファイルシステムのどこにあるかは,原本となる1つのログファイルを除いてわからなくなる.
  4. バックアップの所在変動性
    生成されるログのうち,原本を除くログファイルは,時間とともにその所在が変化する.つまり,ある時点Aで「/tmp」というディレクトリにあったとしても,次の時点Bで「/tmp」ディレクトリにあるとは限らず,別の場所に移動する.つまり,ログはファイルシステム内を動き回ることになる.

ログファイルは複数生成され,その内容は,すべてのログファイルにおいて常に同一であり,かつそれらが計算機のファイルシステム内の"どこか"に生成されるとともに,その所在は,時間とともに変化するという特徴を持つのが本手法である.これらの特徴を,攻撃者からログが逃げ回るとたとえ,「逃げログ」というシステム名になっている.

逃げログの利点は次の通りである.
  • ログ保護のために別の計算機やネットワークの存在を想定しない
  • 付加的なハードウェア(Write-Once media)を必要としない
  • ログの改ざん検知とその通知が可能
  • 改ざんされても,自動的にログが改ざん前の状態に復元される.
  • 削除されても,ログの復元が可能
論文
論文リスト
関連リンク