統合ログ管理とは?SIEMとの違いや機能、製品の選び方について解説
インターネットサービスが発達し、あらゆるものがオンラインで取引されるようになり、より便利な世の中になりました。 しかし、それと同時に機密情報や個人情報を盗み取るサイバー攻撃も増加傾向にあります。 特に近年は、サイバー攻撃の手法も高度化・複雑化しており、従来のセキュリティソフト対策だけでは太刀打ちできない場合もあるのが現状です。 ログ管理においても、それぞれの機器のログを個別に分析・管理するのではなく、さまざまなログを相関的に分析する「統合ログ管理」がますます重要になっています。 本記事では、まずログの種類についておさらいし、統合ログ管理の重要性やメリット、選定ポイントについて解説いたします。
目次
ログ管理とは?
ログ管理とは、コンピュータの利用状況、通信の履歴や情報を記録することを指します。
そもそものログという言葉の由来は大航海時代にさかのぼります。 当時は、船から丸太(=ログ)を海に投げ込んで、離れていく丸太と船の距離から経度を割り出し、これを「航海日誌」に記録していました。 これが、年月が経つとともに現在の「ログ=記録」の意味として使われるようになります。
さまざまなものがIT化した昨今では、あらゆるものがログとして活用されます。 例えば、出退勤ログ、検索ログ、Webアクセスログ、またアップルウォッチやiPhoneで自動的に計測されるヘルスケアの情報も「ライフログ」として数えられます。
ログを取得すると、なにができる?
ログを取得することで、例えば不正通信の検知やパソコン端末の不正利用、業務と関連性のないサイト閲覧などをチェックすることができます。
そのほか、従業員のパソコンの利用状況を把握することで、労働時間が過度に長くなっていないかのチェックや、タイムカード打刻後のサービス残業や持ち帰りサービス残業など、勤務実態の調査なども実施できます。 ログを取得できれば、サイバー攻撃の対策だけでなく、業務効率化やコンプライアンスにも役立てることができます。
ログの種類
ここでは、改めてログにはどのような種類があるのか解説します。
操作ログ
操作ログとは、パソコンやスマートフォン等デバイス内の操作履歴を指します。 基本的なログの一つで、アプリケーションの操作、ファイルやフォルダの作成、移動、閲覧などもこの操作ログに含まれます。
通信ログ
パソコンとサーバ間の通信の履歴のこと。 どのような通信内容だったか、いつ開始され終了したか、どのパソコンとサーバ間で通信が行われたかといった内容を確認できます。
認証ログ
パソコンからシステムやネットワークへログインした履歴のこと。 認証ログでは、失敗の記録もされ、ログイン失敗が多いユーザーや業務時間外のログインが多いユーザーなどを要注意リストに入れ、動向を注視できます。 ブルートフォースアタック(総当たり攻撃)等のサイバー攻撃が行われた痕跡なども発見できます。
イベントログ
システムやアプリケーションで生じた現象・動作を記録するログ。 異常なイベント、ファイルへのアクセス、ログオン・ログオフなどの情報が各システムやアプリケーションごとに記録されます。
入退室ログ
その名の通り、特定の部屋への入室・退出記録のこと。 扉上部に設置されたセンサー、またはICカードなどからログを収集し、不正侵入や従業員の不審な動向などをチェックします。
印刷ログ
複合機などの使用履歴のこと。 印刷枚数、印刷したファイル名、印刷した日時などが詳細に記録されます。 社外持ち出しなど、社内からの情報漏えいなどの原因究明などに活用されます。
設定変更ログ
権限を持つ担当者がシステムやファイル・ファルダの設定を変更した際に記録されるログ。 Googleドライブの共有範囲の権限変更などの際に記録されるものも、この設定変更ログになります。機密ファイルの持ち出しや改ざんなどの特定・追跡に活用されます。
エラーログ
パソコンのシステムやアプリケーション内で発生したエラーを記録するログ。 エラーの内容、エラーが発生した日時や発生原因などが記録されています。
統合ログ管理システムとは?
統合ログ管理システムとは、ファイアウォール、IPS/IDS、WAF、フィルタリングツール、プロキシサーバ、データベースといったサーバ機器やネットワーク機器にとどまらず、ありとあらゆるシステムやアプリケーションのログを収集し、管理・分析できる製品を言います。
代表的な製品としては、海外ではSplunk (スプランク)、Exabeam(エクサビーム)、国内だと、Logstorage(ログストレージ)、LogRevi(ログレビ)、MylogStar(マイログスター)、弊社が提供しているALog EVA(エーログ エヴァ)が挙げられます。 特に、Splunk (スプランク)は統合ログ管理の中で最も規模が大きく、アメリカではビッグデータの解析ツールとして認識されています。
統合ログ管理システムが普及した背景
統合ログ管理が注目されるようになったのは、2004年に成立した個人情報保護法や2008年の日本版SOX法を含む「金融商品取引法」の制定が大きく影響しています。
特に、2004年はファイル共有ソフト「Winny」の開発者の逮捕やYahooBB!のADSL顧客情報流出を代表として、さまざまな企業で個人情報流出の問題が噴出しました。 ちょうどこの頃は、各社がEC通販サイトやメールマガジンを始めた時期ということもあり、情報流出において過去最悪の年となりました。 この頃から内部統制に対しての意識が厳格になりました。
統合ログ管理システムとSIEMの違い
SIEMはサイバー攻撃や内部不正などのセキュリティ関連のログを主な対象としています。 それに対して、統合ログ管理は、あらゆるログを収集して利用状況の管理や勤怠の可視化など、セキュリティに関連しない部分のログ分析にも活用できます。
統合ログ管理の目的と機能
統合ログ管理を活用する目的は、大きく以下の4つに分かれます。
ログをレポートする
利用や稼働、アクセスの状況などを把握するために、まずはログデータを収集しレポーティングします。 勤怠ログや認証ログ、エラーログなど、必要なログを収集しレポートします。
ログを可視化する
ただログを収集しレポーティングしただけでは、操作ログや勤怠ログ、それぞれに基づくフォーマットでログが吐き出され、異なるログの突き合わせが行えず、正確な分析が行えません。 統合ログ管理を使えば、見やすい形にログデータを可視化できます。
可視化の方法には大きく2種類あります。 1つは、ログからグラフなどを作成する方法。 もう1つが、ログを組み合わせて「誰が」「いつ」「どこで」「何を」「どうした」といった情報をレポーティングまたは検索できるようにすることです。
このようにログを可視化することで、例えば「誰が」「いつ」出退勤し、どの端末のファイルに不正にアクセスしたかなどを事細かに特定することができます。
ログの監視
通常のログの取得・保管では、各システム担当者によって管理状況がバラバラで、ログの分析方法やノウハウなども全て担当者に属人化してしまう傾向にあります。 しかし、統合ログ管理では、必要なログをもれなく収集し、かつ収集したログを監視した上で、不正なアクセスや異常な通信を検知できます。 これにより、インシデント対応が迅速に行えるだけでなく、ログ管理における運用負荷を軽減できます。
ログを保管する
ログは分析だけでなく、保管をしておくという観点でも非常に重要です。 あらゆるシステムから必要なログだけを収集し、必要期間まで保管することで、有事の際に即座に原因究明に役立てることができます。 ちなみに、ログの保管期間に関しては、各ガイドラインによって推奨保管期間が定められていますが、統一された基準は制定されていません。
ガイドライン | ログの保管期間 |
PCI DSS | 監査証跡の履歴を少なくとも 1年間保持し、少なくとも3ヶ月間はすぐに分析できる状態にしておくこと |
サイバー犯罪に関する条約 | 保全要請の期間の上限は90日間 |
ログの保管にあたっては、大容量になることが容易に想定されるため、統合ログ管理には過去ログを圧縮し、ストレージコストを抑える機能が実装されています。
ログを検索する
統合ログ管理の目的の1つに、可視化され保管されたログに対し、検索をかけて分析を行うということも挙げられます。 インシデント発生時においては、発生日時や場所などを検索条件に設定してログの検索を行うことで、原因を特定して早期の復旧に役立てることが可能です。
統合ログ管理のメリット
統合ログ管理システムには、どのようなメリットがあるのでしょうか。 それは、大きく以下の4つに集約されます。
実態の把握
ログを管理・分析することで、正確な利用状況の把握ができます。 入退室管理ログやアクセスログでは、社内で不正をはたらく従業員の悪質な行為や、勤怠ログでは正確な勤務実態を把握することができます。 また、複数のログを突き合わせることで、USB等記憶媒体に移したデータの持ち出しなどの把握もできます。
ログ改ざんの防止
攻撃者は、ターゲットにサイバー攻撃を仕掛けたあと、攻撃の痕跡を消すために、ログを削除または改ざんすることがあります。 統合ログ管理システムでは、ログの保存はバイナリデータ(2進数で表現される方式)で保管されたり、暗号化されたりします。
不正アクセスの検知
複数のログを相関分析することで、ログオン失敗や権限変更、機密ファイルへのアクセスなど、わずかな異常も見逃さず、不正アクセスや不審な通信として検知できます。 原因をいち早く追及できるだけでなく、早期のインシデント対応が可能となり、被害を最小限に食い止めることができます。
横断してログを分析できる
通常、システムやネットワークごとに担当者が保管したログを分析します。 また、管理方法はシステム部門内で体系化されていないこともあり、ログの分析方法やノウハウは属人化されていて、手動でログを横断的に分析するのには多大な労力がかかります。 しかし、統合ログ管理システムでは、相関分析(コリレーション分析)など、分析の時間が短縮されます。 わずかな手がかりから攻撃の予兆や痕跡を発見し、即座に異常を検知できます。
統合ログ管理システムの導入方法
基本的に、統合ログ管理システムを自社で導入することは難しく、ベンダーに外部委託するのが一般的です。 導入のアプローチには大きく2つの方法があります。
まず1つ目が実現したいことや必要な機能、ログの収集から取り込み、検索、レポート、監視など一連の要件をヒアリング、定義してもらい、フルオーダー設計する「フルオーダー型」、もうひとつが、基本的な設計や導入支援がメニュー化されている「パッケージ型」です。 標準的な機能を利用してログ管理を行う場合は「パッケージ型」、あらゆる要件に対応したい場合は、「フルオーダー型」を選びましょう。
統合ログ管理製品の選び方
最後に、統合ログ管理製品の選び方について解説いたします。
構築方法
クラウド型は、オンプレミス型のシステムのログを収集すると通信がボトルネックになったり、通信量の課金が膨大になったりする恐れがあるため、オンプレミス型の統合ログ管理システムを導入するケースが多いです。
導入実績
統合ログ管理には、全部のログが必要になるとは限りません。 保管するログが増加すれば、維持・保管コストが高くなるためです。 要望に合わせて必要なログだけを抽出できるかは製品の担当者のヒアリング能力や設計能力にかかっています。 実績が豊富か、どのような業界で導入実績があるのか、事前に確認しておきましょう。
ログ容量
金融や通信業界など、自社で大規模なシステムを構築しており、有事の際に分析できるように、あらゆるログを保管したい企業の場合は、数テラバイト以上でも安定して処理ができる「スプランク」がおすすめです。 ただし、ログ管理の規模が大きくなる場合、運用にあったっては、運用チームが必要になることが多いです。
柔軟性
あらゆる要件に対応ができるような柔軟性は「スプランク」が最も優れています。 ただし、導入や運用のためのコストも大きくなりますので、一般的な統合ログ管理であれば、弊社が提供するALog EVA(エーログ エヴァ)などを含めたそれ以外のログ管理ツールを選ぶと良いでしょう。
まとめ
高度化・複雑化するサイバー攻撃が増加し、社会全体としてセキュリティ対策の強化が叫ばれるようになった中で、「ログを正しく管理していなかった」ではもはや済まされません。
ログを保管するだけの「宝の持ち腐れ」にするのではなく、サイバー攻撃の原因究明などに活用できるよう、統合ログ管理システムの導入を検討してみてはいかがでしょうか?