2021年に改訂されたOWASP Top 10:2021の、9位は「Security Logging and Monitoring Failures」です。
日本語では、「セキュリティログとモニタリングの失敗」「セキュリティログと監視の失敗」となどと訳されています。

前回の改定時の2017年度版では、10位の「不十分なロギングとモニタリング（Insufficient Logging & Monitoring）」としてランクインしており、2021年版ではわずかに順位をあげています。

セキュリティログとモニタリングの失敗とは

アプリケーションへの攻撃はゼロにすることができないため、攻撃があった際にそれを検知してさらなる攻撃を防ぐ対策を行ったり、攻撃者に関して調査をする必要があります。そのためにセキュリティログとモニタリングが重要です。

ロギングとモニタリングに不備があると、説明責任やインシデントアラート、フォレンジックなどに影響がでます。

secure-ver01.hatenablog.com

攻撃者が攻撃する際の各ステップにおいて、ロギングとモニタリングは、攻撃者を足止めする機会を与えてくれます。適切なログは以下のような情報を含みます。

• 特定のファイルを閲覧したりダウンロードしたりしたのは誰か？
• 不正な認証の試みが行われたことはあるか？
• 最近ログインしたのは誰か？
• 予期しない時間帯、予期しない場所から認証イベントが発生していないか？

上記の情報をはじめ必要な情報が含まれていなかったり、怪しいアクテビティについてアラートがモニタリングされていない・アラートが発生しなかったりすることを、「セキュリティログとモニタリングの失敗」と呼びます。

対策

セキュリティ被害の怖さとして、数週間、数カ月、あるいは数年間も発見されないことがよくあることが挙げられます。

発見されない期間が長ければ長いほど、攻撃者はより多くの手段を講じることができ、より多くの悪影響を及ぼす可能性があります。

ログ、監視、警告をて適切に行う設定にすることで、攻撃者がシステムに侵入したことを発見し、被害が拡大する前に阻止できる可能性が高まります。

ログに必要な情報の理解と、正しく記録されているかの確認が重要です。