サーバーのアクセスログから誰が不正更新したか解るの？

自社のWebより、いわゆる機密情報といわれるものが、偶然閲覧できてしまいました。ちょうどその頃、機密情報の一部が改ざんされている事が発覚し、閲覧した私のせいにされています。誰が更新したのか調べることが出来るのですか。白黒はっきりしたいのです。よろしくお願いいたします。

No.1 ベストアンサー 回答者： nta 回答日時： 2005/07/31 08:13

アクセスログから足がつくとすれば、犯人の技術レベルは「下」です。

「中、上」級レベルのクラッカーであればアクセスログや日付を修正して、自分の痕跡を消してしまいます。よって犯人が上級者であれば気づかれることすらないでしょう。ただ、通常見ることのできない機密情報が表示されたことを考えると、犯人は設定ミスをするような「下」レベルの者か、犯行を他人に転嫁するためにあえてそのような設定をした「上」レベルの者か、ということがいえます。あるいはシステムの管理者が犯人であったり、システムプログラム自体にバグがあって予期しなかった動作をした可能性も残されます。システムを詳細に調査しないとこれらの可能性を絞り込むことはできませんが、調査をシステム管理者に任せると管理者が不正を行っていても発見することはできませんから、外部の監査を入れなければなりません。
　身の潔白を証明するために、その前後の利用状況のメモを残しておくことと、アクセスに使ったコンピュータの履歴（ブラウザの履歴）を第三者の監視の中できちんと保存して（画面の写真でもいい）ください。

この回答への補足

早速のアドバイスありがとうございます。
さて、我PCの履歴はすでに自動消去されてありません。
存在するのは、Webサーバーのアクセスログだけと聞いております。
こんな程度しか解りませんが、どの程度まで解るのか想定できませんか？
もちろん、外部の監査を入れることを想定していますが。

補足日時：2005/07/31 08:53

No.2 回答者： nta 回答日時： 2005/07/31 17:08

＃1です。

Webサーバはホームページの読み出しのアクセスかCGIの実行しかログに保存しません。したがって、ログだけでは機密情報を改ざんしたという直接の証拠にはなりません。したがって、ご質問者さまが犯人であるという決め手はないと思います。また、クラッカーの中上級者であれば、アクセスログすら書き換えてしまうのでそれだけで犯人を捕まえることはむずかしいでしょう。
　万一、機密情報がWebアクセスによって改ざんできるようなしくみになっているとするならば、それは管理者のセキュリティに関する手落ちといえそうです。
　ご質問者さまが無実をあくまで主張すればグレーのままで終わってしまう可能性があります。

この回答へのお礼

ありがとうございました。
身の潔白がグレーのままで終わりそうなのは、少し不本意
ではありますが、社には、誠意を込めてやっていない事を説明したいと思います。

お礼日時：2005/08/01 08:09