【天下布武！】名前を奪いに来た転校生

第４章 防衛

４０６ 検知

「いつ暗号化(あんごうか)されたのか、調(しら)べるのに苦労(くろう)しそうですね」

「全(すべ)ての書類(ファイル)を、一気(いっき)に変更(へんこう)することはありますか？」

「ありません」

「全(すべ)ての書類(ファイル)を一気(いっき)に変更(へんこう)すれば、増分(ぞうぶん)バックアップにより保存(ほぞん)されるデータサイズはどうなるでしょうか。その日だけ、急激(きゅうげき)に増加(ぞうか)する現象(げんしょう)が発生(はっせい)します。この状態(じょうたい)を異常(いじょう)と検知(けんち)し、通知(つうち)させることで、暗号化(あんごうか)された翌日(よくじつ)には、被害(ひがい)に遭(あ)った事実(じじつ)を知ることが可能(かのう)になります」

「そうしてもらえると、安心(あんしん)出来ます」

　異常(いじょう)を検知(けんち)する方法(ほうほう)は、色々(いろいろ)ある。

　例えば、サイバー攻撃(こうげき)を仕掛ける場合。乱波(らっぱ)は、施設(しせつ)に対し、何らかの行動(こうどう)を起こす。

　入口(いりぐち)での認証履歴(にんしょうログ)や、施設内(しせつない)での行動履歴(こうどうログ)は、適宜(てきぎ)記録(きろく)される。

　不正(ふせい)を働(はた)らいている自覚(じかく)がある乱波(らっぱ)は、不正(ふせい)の証跡(しょうせき)である履歴(ログ)の消去(しょうきょ)を試(こころ)みる。

　履歴(ログ)は、原則(げんそく)として積(つ)み上げていくもの。

　一定(いってい)の容量(サイズ)に達(たっ)したり、期間(きかん)で区切(くぎ)り、記録(きろく)する書類(ファイル)を変えるログローテーションを行うことはある。けれど、記録(きろく)している最中(さいちゅう)に、部分的(ぶぶんてき)に消失(しょうしつ)するような運用(うんよう)はしない。

　つまり、履歴(ログ)の容量(サイズ)が予定外(よていがい)のタイミングで減少(げんしょう)すれば、不正(ふせい)が発生(はっせい)したと判断可能(はんだんかのう)。

　履歴(ログ)は、記録(きろく)されている情報(じょうほう)を読(よ)むだけでなく、履歴(ログ)そのものを監視(かんし)することでも、異常(いじょう)検知(けんち)に役立(やくだ)てられる。

　乱波(らっぱ)が、証拠隠滅(しょうこいんめつ)のため、改竄(かいざん)したり、履歴(ログ)を削除(さくじょ)する可能性(かのうせい)を否定(ひてい)出来ない。

　その後(ご)のリスクを排除(はいじょ)するため、ファイアウォール、プロキシサーバ、 DNSサーバ、認証サーバ、メールサーバを運用(うんよう)している場合(ばあい)、各々(おのおの)の履歴(ログ)を、一年分程はバックアップを残しておくことが望(のぞ)ましい。

　履歴(ログ)をバックアップ対象(たいしょう)に追加(ついか)する。