概要
計算機内のログは,計算機システムの運用管理において必要不可欠な情報源である.一方,それゆえに悪意ある人によって改ざんされたり,削除されるという脅威がある.
逃げログは,計算機のログを悪意ある改ざんや削除から保護する手法であり,ライブラリとして提供される.
ログを出力するシステムに対して本ライブラリを適用することで,ログ保護機能を追加することが可能である.本手法の特徴は,次の通りである.
- バックアップの複数生成
計算機ログは,複数生成される.つまり,計算機ログのバックアップが複数生成される. - バックアップの同時生成
生成されるログは,すべてリアルタイムでログが出力される.つまり,本手法によって生成される複数のログは,あらゆる時点において,常に同じ記録内容となる. - バックアップの所在不明化
生成されるログは,その所在が不明になる.つまり,本手法によって生成されるログは,それらが計算機内のファイルシステムのどこにあるかは,原本となる1つのログファイルを除いてわからなくなる. - バックアップの所在変動性
生成されるログのうち,原本を除くログファイルは,時間とともにその所在が変化する.つまり,ある時点Aで「/tmp」というディレクトリにあったとしても,次の時点Bで「/tmp」ディレクトリにあるとは限らず,別の場所に移動する.つまり,ログはファイルシステム内を動き回ることになる.
ログファイルは複数生成され,その内容は,すべてのログファイルにおいて常に同一であり,かつそれらが計算機のファイルシステム内の"どこか"に生成されるとともに,その所在は,時間とともに変化するという特徴を持つのが本手法である.これらの特徴を,攻撃者からログが逃げ回るとたとえ,「逃げログ」というシステム名になっている.
逃げログの利点は次の通りである.- ログ保護のために別の計算機やネットワークの存在を想定しない
- 付加的なハードウェア(Write-Once media)を必要としない
- ログの改ざん検知とその通知が可能
- 改ざんされても,自動的にログが改ざん前の状態に復元される.
- 削除されても,ログの復元が可能
論文
-
高田哲司,小池英樹:
逃げログ: 削除まで考慮に入れたログ情報保護手法
情報処理学会論文誌, Vol.41, No.3, pp.823-831, March 2000
関連リンク