取材協力いただいた
高柳様・佐藤様
ALogシリーズを導入したきっかけは?
情報漏洩が発生したと仮定して社内でシミュレーションしたのがきっかけです。もし標的型攻撃によりファイルが流出した場合、乗っ取られたアカウントがどのファイルにアクセスしたのかを調査し、流出したファイルを特定する必要があります。そこでファイルサーバのイベントログから特定アカウントがアクセスしたファイルをピックアップしてみたのですが、たった4時間分のログ調査に6時間かかってしまいました。当時で2億個くらいのファイルがあったと記憶してます。これが実際のサイバー攻撃だった場合、4時間分のログから1週間分調査しないといけないかもしれません。これは現実的ではないなと思いました。そこで、イベントログを実際のファイルアクセス通りに整形してくれるツールを導入しようという流れになりました。
ログ管理ツールに求めていたポイントは?
求めていたポイントは、先ほどの通り、イベントログを実際のファイルアクセス通りに整形をしてくれるツールです。他のツールも検討したのですが、どのツールも他にたくさんの機能がついていて、セットで高いものばかりで。なので、ALogが我々にはマッチしました。
実際に利用した感想は?
ALogはイベントログが自動変換され、実際のファイルアクセス通りのログが出力、保管されます。「誰がいつどのファイルにアクセスしたのか」と。そのため、イベントログを使ったシミュレーションではログ調査に6時間必要でしたが、ALogでは特定アカウント名を入力して検索するだけでそのアカウントがアクセスしたファイルが一瞬でわかります。つまり6時間が"ゼロ時間"になりました。これで、もしサイバー攻撃を受けたとしても、迅速に対応できる環境となりました。
他にも導入してみて気づいたのですが、ALogはITに詳しくない人でも操作できるようにデザインされているなと感じました。当社では、日々の運用は監査チームが行っていますが、ALogを導入し、監査担当者に1度ALogの使い方を教えてからは、今のところ使い方について質問が来てません。他のツールだと結構質問があるので、ALogはITに詳しくなくても簡単に扱えてるかなと思います。
今後の展望や網屋への要望は?
今、180TBぐらいのファイルがあるのですが、年々増えているのが悩みです。そこで、ALogシリーズのResource Athleteを導入して、何年も使っていない不要なファイルを可視化・削除し、ファイルサーバの容量を増やさないようにしたいです。
