閉じる
表示設定
目次
406 検知
「いつ暗号化(あんごうか)されたのか、調(しら)べるのに苦労(くろう)しそうですね」
「全(すべ)ての書類(ファイル)を、一気(いっき)に変更(へんこう)することはありますか?」
「ありません」
「全(すべ)ての書類(ファイル)を一気(いっき)に変更(へんこう)すれば、増分(ぞうぶん)バックアップにより保存(ほぞん)されるデータサイズはどうなるでしょうか。その日だけ、急激(きゅうげき)に増加(ぞうか)する現象(げんしょう)が発生(はっせい)します。この状態(じょうたい)を異常(いじょう)と検知(けんち)し、通知(つうち)させることで、暗号化(あんごうか)された翌日(よくじつ)には、被害(ひがい)に遭(あ)った事実(じじつ)を知ることが可能(かのう)になります」
「そうしてもらえると、安心(あんしん)出来ます」
異常(いじょう)を検知(けんち)する方法(ほうほう)は、色々(いろいろ)ある。
例えば、サイバー攻撃(こうげき)を仕掛ける場合。乱波(らっぱ)は、施設(しせつ)に対し、何らかの行動(こうどう)を起こす。
入口(いりぐち)での認証履歴(にんしょうログ)や、施設内(しせつない)での行動履歴(こうどうログ)は、適宜(てきぎ)記録(きろく)される。
不正(ふせい)を働(はた)らいている自覚(じかく)がある乱波(らっぱ)は、不正(ふせい)の証跡(しょうせき)である履歴(ログ)の消去(しょうきょ)を試(こころ)みる。
履歴(ログ)は、原則(げんそく)として積(つ)み上げていくもの。
一定(いってい)の容量(サイズ)に達(たっ)したり、期間(きかん)で区切(くぎ)り、記録(きろく)する書類(ファイル)を変えるログローテーションを行うことはある。けれど、記録(きろく)している最中(さいちゅう)に、部分的(ぶぶんてき)に消失(しょうしつ)するような運用(うんよう)はしない。
つまり、履歴(ログ)の容量(サイズ)が予定外(よていがい)のタイミングで減少(げんしょう)すれば、不正(ふせい)が発生(はっせい)したと判断可能(はんだんかのう)。
履歴(ログ)は、記録(きろく)されている情報(じょうほう)を読(よ)むだけでなく、履歴(ログ)そのものを監視(かんし)することでも、異常(いじょう)検知(けんち)に役立(やくだ)てられる。
乱波(らっぱ)が、証拠隠滅(しょうこいんめつ)のため、改竄(かいざん)したり、履歴(ログ)を削除(さくじょ)する可能性(かのうせい)を否定(ひてい)出来ない。
その後(ご)のリスクを排除(はいじょ)するため、ファイアウォール、プロキシサーバ、 DNSサーバ、認証サーバ、メールサーバを運用(うんよう)している場合(ばあい)、各々(おのおの)の履歴(ログ)を、一年分程はバックアップを残しておくことが望(のぞ)ましい。
履歴(ログ)をバックアップ対象(たいしょう)に追加(ついか)する。
ハートをクリックで、簡単に応援の気持ちを伝えられます。(ログインが必要です)
応援したユーザーはいません
アカウントをお持ちの方はログイン
カクヨムで可能な読書体験をくわしく知る
機能をオンにすると、画面の下部をタップする度に自動的にスクロールして読み進められます。
カクヨムに登録すると作者に思いを届けられます。ぜひ応援してください。
新規ユーザー登録(無料)
カクヨムに登録して、気になる小説の更新を逃さずチェック!
カクヨムに登録して、お気に入り作者の活動を追いかけよう!
