新たな脅威の対策にも!統合ログ管理ツール

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

新たな脅威の対策にも!統合ログ管理ツール

2012/03/26


 「サイバー攻撃に対応するにはどうすればよいか」「情報流出を起こさないために何をなすべきか」。昨今の重大な情報漏洩事件や被害事例に鑑み、システムには新しい脅威に対抗できる対策が求められている。その答えの1つになりうるのが「統合ログ管理ツール」だ。これは単にシステムの稼働状況をモニタするばかりのツールではない。システム状況とその利用状況を詳細に記録し、問題があればアラートを発することもできれば、過去の何が問題を引き起こしているのか、それは誰の手によるのかに至るまで、原因を深く探ることができる。今回は、脅威対策と同時にITガバナンスの強化にも役立つ最新の統合ログ管理ツールについて、基礎とメリット、そして製品選択のポイントを紹介する。

統合ログ管理

※「統合ログ管理/新たな脅威の対策にも!統合ログ管理ツール」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「統合ログ管理/新たな脅威の対策にも!統合ログ管理ツール」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

「統合ログ管理ツール」とは?

 統合ログ管理ツールは、多数のシステム機器が出力する動作や操作の履歴情報(ログ)をまとめて分析可能にするツールだ。主な機能は次のとおり。

多数の異なるログ形式を収集、統合管理を可能にする。

異なる機器のログでもさまざまな視点から横断的に分析する。

ログを改ざんできない形でコンパクトに保管し、監査を行う場合の証跡として利用可能にする。

異常な操作や動作が生じた場合に、アラートを発する。

図1 統合ログ管理ツールの機能イメージ
図1 統合ログ管理ツールの機能イメージ
資料提供:EMC
■統合ログ管理ツールが対象とする「ログ」とは?

 ログにはサーバやネットワーク機器が出力するシステムログと、アプリケーションが出力するアプリケーションログがある。UNIX系のサーバならsyslogと呼ばれる標準フォーマットのログを出力し、Windows系のシステムならイベントログと呼ばれる形式のログを出力する。そのほかのシステム機器のログは形式がそれぞれ異なる。syslog形式にのっとったものもあれば、独自形式の場合もある。
 統合ログ管理ツールは、それらの出力形式の差異を超えて、さまざまな機器からのログを自動収集し、基本的には時系列にログを一元的に記録し、保管する。

■複数の機器のログを統合管理することの意味は?

 システムごとにコマンドやスクリプト実行によりログを収集するのは手間がかかる。また、ネットワーク機器の膨大なログの取扱いはやっかいだ。その結果を手作業で分析したり、レポートにまとめる作業にも時間がかかる。問題が発生した時点から気がつくまでの時間が長ければ長いほど、トラブルが深刻化しやすい。
 統合ログ管理ツールは、ログを自動収集/保管するばかりでなく、各種機器からのログを横断的に分析し、結果を分かりやすく表示する機能を持っている。
 図2に一例をあげる。例えばIPSのログだけでは何も分からないが、ファイアウォールのログとの相関を分析すると、どの端末から何が行われたのかがおよそ特定できる。それが問題行動であれば、再発防止などにすぐに取りかかることができる。
 同じように、サーバへのアクセスや、アプリケーションの利用などについても相関分析が可能だ。特定の機器だけを見ているのでは、単なる稼働監視に終始してしまう。セキュリティやコンプライアンス強化のためには、システムで何が起きているのか(いたのか)を把握することが大事。そのためには、関連する機器のログを突き合わせて分析(相関分析)できる機能が必要だ。

図2 相関分析の例
図2 相関分析の例
資料提供:マクニカネットワークス
■ログから問題を発見するには?

 数年前から、上場企業では金融商品取引法が求める「内部統制」に対応するため、統合ログ管理製品を導入してログの長期保管に取り組んでいる。しかし保管したログは活用される場面がなく、投資しただけのメリットが感じられないでいる場合も多いようだ。
 ところが昨年から、一連の企業や公的機関へのサイバー攻撃をきっかけに、大企業ばかりでなく中堅・中小企業においても統合ログ管理ツールのセキュリティ面での効用が注目されるようになった。一連の事件では、自組織のシステムで今何が起きているのかを把握できていなかったことが、膨大な被害につながった。システムの現状を常に把握し、また過去に遡って特定時点でのシステム状況を把握できるようにすることの重要性が改めて認識されたはずだ。
 統合ログ管理ツールは、基本的には、あらかじめ定義された分析項目に応じてログを統計処理してレポートし、必要な時には元データに遡って確認できるようにする。
 例えば、図3のようなレポート形式でシステム上の出来事を表示することができる。図3の例では、認証失敗を繰り返した特権ユーザの存在や、本来はあり得ないユーザからのアクセス、ルールを外れたアクセスなど、「怪しい」行動が如実に把握できる。

図3 ログデータのレポート表示例
図3 ログデータのレポート表示例
資料提供:EMC
■予見できない問題の自動発見(ダッシュボードやアラート)

 また、こうしたレポート形式で過去ログを探るばかりでなく、リアルタイムにシステム状況を監視できる機能も、多くのツールが備えている。図4のようなダッシュボード表示はその一例だ。システム状況の変化の状態を確認するばかりでなく、条件を設定して、逸脱した事象が起きた場合には、画面へのアラート表示や、場合によっては警告灯表示(パトランプ点滅など)を行うことができる。
 また、問題の自動発見は、他のプログラムやコマンド実行のトリガーにすることができる。例えばファイアウォールのアクセス量のしきい値を越える通信が発見されたら、出所のネットワークを一時遮断するためのプログラムを実行するなど、問題に応じた自動対処が可能になる。

図4 ダッシュボード表示例
図4 ダッシュボード表示例
資料提供:EMC

+拡大

■「ヤバイ!侵入されてる?」サイバー攻撃の予兆検知と、緊急な事後対応のデスマーチから脱却!

 通常のシステム稼働時とは異なる特徴を発見できる機能は、サイバー攻撃の予防にも効果が期待されている。サイバー攻撃は、特定のパターンがないので通信のフィルタリングなどは効きにくい。しかし、セキュリティ対策をかいくぐって内部の情報を探ったり、外部との通信を不自然なタイミングで行うなど、いくつかの予兆は検知可能だ。
 また、サイバー攻撃は発覚しても、その目的が不明で、システムに何をしたのかが分からない場合がある。攻撃の一側面を捉えたら、それを手がかりに攻撃の全容を明らかにし、流出した情報はないか、破壊されたファイルはないかなど、影響範囲を特定して被害の大小や有無、今後の被害可能性などを検討しなければならない。その調査のために、各種機器のログを一元管理・分析できる統合ログ管理ツールがおおいに役立つ。
 もちろん、これはサイバー攻撃に限った話ではない。あるツールベンダでは、10万件のクレジットカード情報を保有している企業で特権IDを悪用してカード情報を窃取し、闇市場で売却したというシナリオで、その事件の発見及び事後対応にかかる時間と費用の試算をしている。 図5のA社は、適切なリアルタイム監視を含むログ管理とインシデント対応手順が整備されている企業、B社はほとんど何も管理をしていない企業だ。問題解決までに必要な時間が、A社では5時間ほど、B社では5ヵ月ほどになるという結果だ。しかも以降の5年間にかかるB社の費用は、A社の38.5倍になるという。A社が統合ログ管理ツールを導入し、その運用管理を行うコストも算入した上でのことだ。もちろん前提条件が違えば結果は大きく異なるはずだが、管理をしていたかどうかで何が違ってくるかが読み取れる。当然管理をしていなければ、緊急な事後対応のデスマーチが待っていることになる。

図5 適切なログ管理とインシデント管理を行っている企業とそうでない企業の事後対応の差
図5 適切なログ管理とインシデント管理を行っている企業とそうでない企業の事後対応の差
資料提供:EMC
■記録されたログはどうなるか?

 記録されたログは、圧縮され、ハッシュ関数によって改ざん検知のための値が付与された状態でストレージに保存される。このときにログデータそのものの暗号化を行う場合もある。圧縮率は製品によって異なるが、例えばユーザ1000人規模のアプリケーションログだけなら、年間で300GBあれば十分に記録できるという。サーバのシステムログだけならもっと小さい。ただしファイアウォールやプロキシサーバのアクセスログなどは量が膨大なので、更に容量が必要になることもある。
 統合ログ管理製品は、ソフトウェアとして提供されるもののほか、アプライアンスとしても提供されている。サーバやアプライアンス内蔵のストレージで足りなければ外部ストレージを利用できる。監査を行う期間(例えば1年)分のログが保管できれば、あとはテープに格納して保管しておけばよい。
 こうして保管したデータは、IT統制の一環としてのセキュリティ監査や、セキュリティインシデントが発生した際の原因究明に利用できる。真実性が担保できる状態で保管され、監査証跡にできることが重要だ。

■統合ログ管理ツールのメリット

 これらの機能を上手に活用すれば、次のような効果を上げることが可能だ。

個別システムの管理担当者以外でも、システムの異常や問題発生に気づくことができる。

異常状態を自動的に検出してアラートを発することにより、早期の解決が図れる。

問題発生時に、すべての管理対象機器のログにアクセスでき、原因究明を迅速・確実に行える。

内部の不正行為やポリシー違反を発見できる。

サイバー攻撃などの予兆の発見や、事後の対応に役立てることができる。

システムの状況(現在も過去も)が視覚化できる。

IT統制に関連した監査に耐える、真実性が担保されたデータ保管ができる。

 更に言えば、PCI DSSや、ISMSなどのセキュリティ認証を取得する場合にも、統合ログ管理ツールによるログデータ管理・保管の仕組みが助けになることが多い。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

統合ログ管理/新たな脅威の対策にも!統合ログ管理ツール」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「統合ログ管理」関連情報をランダムに表示しています。

統合ログ管理」関連の製品

内部ネットワーク監視ソリューション「VISUACT」 【ギガ+他】 ログ管理ツール『ALog SMASH』 【網屋】 サーバアクセスログ『ALog ConVerter』 【網屋】
統合ログ管理 統合ログ管理 統合ログ管理
・ファイルサーバのアクセスログを生成する
・内部ネットワークに侵入したマルウェアの拡散活動を記録する
サーバにある重要データに「いつ、誰が、何をしたか」を記録する製品。対象サーバに直接インストールするため、ログサーバが不要。PCへのエージェントインストールも不要。 重要データへのアクセス記録をエージェントレスで取得する製品。重要データが格納されるサーバ側からログを取得するため、低コストで効率的なログ管理を実現可能に。

統合ログ管理」関連の特集


従業員の操作ログの取得で、監視だけでなく、生産性向上のために活用したいというニーズが増えているのをご…



ネットワークやエンドポイントで多様な脅威にさらされる企業システム。これらを常に監視し、不正をリアルタ…



今や“ログ管理”は企業規模を問わず、発注元などから求められる要件になってきている。最近ではログ収集の…


統合ログ管理」関連のセミナー

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 1月12日(木),2月10日(金),3月9日(木)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

最新版Logstorageのご紹介セミナー 【インフォサイエンス】  

開催日 12月8日(木),12月22日(木)   開催地 東京都   参加費 無料

ログ活用の事例を交えながら、統合ログ管理システムLogstorage最新版の機能をご紹介いたします。・セキュリティとログ管理・ログ管理の問題点とログストレージに…

Logstorage紹介セミナー 【アシスト】 締切間近 

開催日 12月14日(水)   開催地 大阪府   参加費 無料

業界業種、産官学を問わず、セキュリティ対策、内部統制対応、リスクマネジメントのために、システムから出力されるログを一元管理し活用することが当然となってきておりま…

「運用管理」関連 製品レポート一覧

このページの先頭へ

統合ログ管理/ 新たな脅威の対策にも!統合ログ管理ツール」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「統合ログ管理/ 新たな脅威の対策にも!統合ログ管理ツール」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004522


IT・IT製品TOP > 運用管理 > 統合ログ管理 > 統合ログ管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ