ログ取得。
その必要性は分かるものの、何をどこまで取ればいいのか?に悩んだことはないでしょうか。
今回はそれをOMB M-21-31とCISA「Guidance for Implementing M-21-31」から学びます。
内容を簡単に
- OMB M-21-31は、何のログをどの程度取ればよいのか・取得時にどんな考慮点があるのかを学べる文書。
- ログ管理の成熟度レベル(EL)を0~3の4段階に分け、23年8月までに各省庁がEL3を達成することを求めている。
- 取得を求める約700項目のログを、アイデンティティ、ネットワーク、OS、モバイル、クラウド、コンテナ等のカテゴリに分けて定義。
- 23年2月にCISAから出た追加のガイダンスでは、上記の中でも特に優先すべきログの種類が把握できる。
OMB M-21-31とは?
EO 14028の第8条を受けてOMBが各省庁向けのログの保持要件を策定したものがM-21-31です。
OMB M-22-09のnoteでも書きましたが、大統領令を実現するための具体的な方針と予算の見積指示をOMBが各省庁宛てに覚書(メモランダム)として出します。
そもそも、EO 14028はSolarWinds事件などの甚大な影響を及ぼしたセキュリティインシデントを背景に発令されました。
このため、EO 14028では防御策の強化に加えてインシデントの調査や復旧に必要なログを定義し各省庁がそれを満たすことを求めています。
つまり、インシデント対応に必要なログを米政府が本気で洗い出した要件を学ぶことができるドキュメントです。
また、今回はあわせて「Guidance for Implementing M-21-31」も読みます。
こちらはM-21-31が出た21年8月から1年半後、23年2月にCISAが出したもので、各省庁の悩みごとや相談へのフォローをまとめたものです。
構成は?
M-21-31は全44ページの構成です。
以下のページ配分からも分かる通り、メインはAppendix Cです。
- 本紙:4ページ
- Appendix A 実装と集中アクセスの要件:6ページ
- Appendix B 用語定義:2ページ
- Appendix C ロギング要件 - 技術的詳細:32ページ
CISAの「Guidance for Implementing M-21-31」は全4ページとシンプルなものです。
本書の日本語訳
見当たらなかったので作成しました。
いつも通り機械翻訳を微調整したレベルなので正確性は保証できません。
なお、M-21-31の翻訳はWord形式ですが、Appendix AおよびAppendix Cのみ見やすさのためにExcelに翻訳しています。
更に、Appendix Cの表は使いづらかったので、実用面を考慮して並び替え・追記をした(編集版)Sheetを設けています。
並び順をログカテゴリー順に変更
フィルタ機能を使いやすいようにF列、G列を追加
CISAの「Guidance for Implementing M-21-31」で最優先することを推奨された項目のマッピングをH列に追加
Dropbox - M-21-31 Appendix A,C.xlsx
Dropbox - Guidance for Implementing M-21-31.docx
M-21-31の概要
本紙では、まず最初にログ管理の成熟度モデル(EL)を定義しています。
この覚書が出てから1年以内にEL1、1年半以内にEL2、2年以内にEL3への到達を各省庁に求めています。
イベントロギングの階層 | 評価 | 説明 |
---|---|---|
EL0 | 効果なし | 最も重要度の高いロギング要件が満たされていないか、部分的にしか満たされていない。 |
EL1 | ベーシック | 最も重要度の高いロギング要件のみを満たす |
EL2 | 中級 | 最高および中級の重要度のロギング要件が満たされている。 |
EL3 | 上級 | すべてのクリティカリティ・レベルのログ要件を満たす |
Appendix AではELの定義を詳しく書いています。
Appendix Cで取得を求める詳細のログ項目が出てくるのですが、それぞれに0~3の「重要度(Criticality Level)」が割り振られています。
Appendix Aでは、ELごとにどの重要度のログを取らねばならないかを決めています。
EL1は重要度0のログを取得
EL2は重要度1と2のログを取得
EL3は重要度3のログを取得
この他にAppendix Aでは以下について触れています。
- ログに最低限含めるべきデータ項目
- タイムスタンプの標準ルール
- SIEMへの転送ルール
- ログの完全性を確保するための対策
- DNSのロギングと、CISA管理外のドメインリストの提出要件
- CISAやFBIへの提供要件
- SOARやUBAの実装
- SOC監視要件
- CISAへのログ構造の提出
- 暗号データの検査
補足(よく分からなかったところ)
「暗号データの検査」については、「Appendix Cのデータまたはメタデータを平文形式で保持」することを求めており、暗号通信を復号化する必要があるように見えます。
しかし、「Guidance for Implementing M-21-31」では「そこまでする必要はない」と書かれています。
ただ、そこには同時に「完全なパケット・キャプチャ・データ:復号化されたPlain textとClear text」が必須とも書いてあり、復号化せずにどうやって要件を満たすのかイメージがわきませんでした。
Appendix Cでは、具体的なログの取得対象、重要度(Criticality Level)、保存期間を定義しています。
例えばOSについてはWindows、Mac、Linux、クラウドについてはAWS、Azure、GCPとそれぞれ分けてあり、全体で706行(空白行除く)もあります。
重要度別に分けるとこんな感じです。
- 重要度0 354行
- 重要度1 233行
- 重要度2 106行
- 重要度3 13行
保存期間については、すぐに使えるアクティブ・ストレージ上に12か月、長期保管目的のコールド・データ・ストレージ上に18か月で統一されています。
この18か月の解釈についてOMBに問い合わせた方がおり、12か月プラス18か月で実質30か月を意味している、とのことです。
After eight days I got a definitive answer from OMB: The terms are consecutive, not concurrent.
— Peter Burkholder (@pburkholder) October 12, 2022
例外的にNWのパケットキャプチャについてはその分量から72時間としていますが、これでも多すぎるんですけど…という意見が寄せられていることが「Guidance for Implementing M-21-31」から伺えます。
そもそもパケットキャプチャってNWのどの部分の話なんだ…とか前述の復号化の件を含め、ここは悩みが多そうです。
Guidance for Implementing M-21-31の概要
M-21-31では2年以内、つまり23年8月までにEL3到達を求めていますが、23年に入ってもEL3どころかEL1にすら届かない省庁が沢山ありそうです。
23年2月にCISAが出したこのガイダンスでは「ログ取得に苦しんでるなら優先順位付けなよ」とアドバイスしています。
具体的には、以下を優先することを勧めています。
- 高価値資産(HVA)システム
- 影響度の高いシステム
- エンタープライズITネットワーク(特にAzure Active DirectoryやActive DirectoryなどのIDプロバイダ)
- インターネットにアクセス可能なシステム(ウェブ・アプリケーションなど)
- インターネットと定期的にやりとりするシステム(ユーザーが電子メールにアクセスしたり、インターネットやDMZネットワークを閲覧したりするデバイスなど)
更に、「EL1の中でもこのログは優先しなよ」とAppendix Cの約700行から21行を洗い出しています。
この優先すべき項目は、上記の日本語版Excelの(編集版)SheetのH列にマッピングしています。
まとめはここまでです。
私の所属組織でも、ログ取得を求める要件は当然あります。
しかし、時々「具体的に何をとればいいか」と問われることがあり、正直答えに困っていました。
各システムの構成や利用コンポーネントが分からない中で、また分かったとしても逐一全てのログ項目を洗い出すのは難しく、結果的に「いつ・誰が・何の資源に・何をリクエストして・その結果どうなったかが分かるログ…」とか文学的に答えるくらいが精いっぱいでした。
そんな中で本書のAppendix Cの記載は非常に有用であり、活用可能な粒度に落としてくれていると思います。
ただ、パケットキャプチャの取得要件や、保存期間が12カ月~30か月と言ったあたりはもう少し深堀する余地がありそうです。
特に、保存期間は日本の法令や業種面も踏まえて決める必要があり、ちょうどこちらのブログでIPAのドキュメントにいい感じの情報がまとまっていることが知れたので、こちらもあわせて要確認です。