ITセキュリティ女子のブログ

  • ログ分析/ログ管理
2022.01.13

ログ分析はなぜ必要?ログ分析の期待効果と運用ポイント

ログ分析はなぜ必要?ログ分析の期待効果と運用ポイント

みなさんこんにちは。長谷川まりです。

各システムが出力するログ。監査や何かあった際の証跡を残すという観点から、ログはきちんと保管されている企業は多いと思います。でも、セキュリティの観点からは、ログを保管している状態から分析、活用できる状態へとステップアップさせることで、さまざまな効果が期待できるのです。ここでは、ログ分析の効果と、その効果を上げるための運用ポイントについて、おさらいしたいと思います。

ログ分析はセキュリティ対策の基盤になる

ログは企業の重要な情報、データです。「いつ、どこから、だれが、どのように、何に対してアクセスしたか」が記録されており、主に監査やセキュリティ対策のシーンで必要とされることから、多くの企業で「何かあった時」のために各システムのログを保管していると思います。では具体的に、「何かあった時」というのは、どのような時なのでしょう。

  • ランサムウェアを仕掛けられるなど、外部から攻撃が行われた
  • 内部犯行と思われる、情報漏洩が発覚した
  • 保守作業における手作業の際、ミスがありシステムを停止させた
  • 監査で数か月分のアクセスログの提出が求められた

ざっと挙げてみましたが、ログが役に立つのはこの時だけなのでしょうか。セキュリティの観点で言えば、そうではありません。攻撃や情報漏洩が行われるまでに、ログからその兆候を見つけられるポイントがあるからです。と、いうことは、もしそれらのポイントをきちんと監視していれば、「何か」が未然に防げるかもしれません。普段から、保管しているたくさんのログを分析できたら、1つ1つのログはセキュリティ対策の基盤を形成する、大事な財産になりそうです。

ログ分析をしておくと得られる、3つの期待効果

では具体的に、普段からログ分析をすることで、どのような効果があるのでしょう。以下3つが挙げられると思います。

効果1:正常な状態がわかるので、異常の検知がしやすくなる

正常な状態を知らないと、異常の検知はしにくいものです。一見、何ということもないことも、それが起こる前の状態を知らないと、その事象が無視していいものかどうかがわからないからです。例えば休日に、管理者権限のアカウントがあるサーバにアクセスした、これは正常か異常かは、普段の運用やアカウントの利用形態を知らない限り判断ができませんよね。普段の動き、ログの出方を知ることは、異常を知る上で重要な要素と言えます。

効果2:ログ分析に慣れておくことで、不測の事態に対応できる

急に「攻撃を受けたようだからログを分析してくれ」と言われても、何を?どうすれば?と四苦八苦する方はきっと多いはずです。普段見ていないものを見ろと言われても、初動はどうしても遅れてしまいますよね。どうしても見なければならない時というのは、往々にして緊急時で、迅速な対応を求められる場面になってしまいます。ですので、いわば避難訓練のように、普段から定期的に分析をして慣れておくことで、不測の事態にも落ち着いて対処できる効果があると言えます。

効果3:分析結果からセキュリティ対策の見直しができる

例えばローカルのadministratorを使わない、という社内ルールがあったとしましょう。これにより、ログにはadministratorのログオン履歴は出てこないはずです。しかし、ログオン履歴のログを見たらadministratorが高頻度で使われていたら?ルールを徹底するよう作業を行うメンバに伝える、そもそも使わせないように仕組みを導入する、止む無く利用する場合は申請と承認を経た上で利用させる、などの対策が考えられますね。このように、事実を知ることで次の一手を検討し、実行できるというのが重要です。「何かあったときに見る」では、気付けるセキュリティホールを野放しにしている状態とも言えるため、危険なことです。

ログ分析の効果を上げる運用は?

では、ログ分析の効果をもっと上げるにはどうしたら良いでしょう?運用という観点では、以下の2つを押さえておくと良いかもしれません。

継続可能な頻度で行うこと

ログ分析は、どのぐらいの頻度で行えば良いでしょう?ほとんどの企業では、ログ分析はいわゆる副業(本来の業務が他にある)状態で、担当者の方が行うことが多いと思います。そのため、「現実的に担当部署が継続して行える頻度」で行います。具体的には、長くとも半年に1回、可能なら週に1度などが良いでしょう。

理想では、インシデントが発生またはその予兆のタイミング、つまりリアルタイムで気づくことが出来ると良いのですが、そのようなリアルタイム検知は、仕組みの構築コストやそれを運用するパワー(多発する誤検知との戦い)など、課題が多いのも実情です。そのため、ある程度ログをまとめた上で分析を行う、それぞれの組織に則った運用ベースで考えるのが現実的な解となります。最も重要なのは、ログ分析は継続して行う必要があるということです。システムや運用の変更があれば、それを加味してログの結果を分析していくことも、考慮する必要があります。

ログ分析の結果を共有すること

セキュリティ教育では「当事者意識」が重要、とよく言われますが、組織全体としてログ分析の結果を共有する仕組みがあると、より効果的です。例えばプロキシのログから、社員たちが使った履歴を見せられたら、見せられた社員一人一人に当事者意識が芽生えるのではないでしょうか。業務に不要と思われるサイトへどれだけの人がアクセスしているかを知ることで、セキュリティ意識が高まり、不要なサイトへアクセスしなくなる、といった抑止効果が期待できます。

まとめ

以上のように、ログ分析をすることで得られる3つの効果についてお伝えしました。

・正常な状態がわかるので、異常の検知がしやすくなる
・ログ分析に慣れておくことで、不測の事態に対応できる
・分析結果からセキュリティ対策の見直しができる

またこの効果を高めるためには、継続的にできることがまず重要であることと、さらに分析結果を共有することで、抑止効果も得られることをお伝えしました。

なおログ分析は、ツールを使って行うのが現実的です。アシストではログ分析ツールとして、「Logstorage 」をご紹介しているほか、お客様のログを分析、結果をご報告した上で、お客様でも分析ができるようスキルトランスファーをさせていただく「Ashisuto Security Analytics with Logstorage」というサービスも提供しています。サービスの詳細が載った資料(A4サイズ両面)を、以下からどなたでもダウンロードいただけますので、是非ご活用ください。

ログ分析を始めたいお客様へのお役立ちサービス Ashisuto Security Analytics with Logstorage

ログ管理するはいいけど、貯めるだけではなく分析、活用したい方へ。マルウェアなどの脅威や内部の不正をレポートでチェックできるようになるサービスです。
◆サービス内容:
・レポートの実装
・実際のレポート結果をアシストSEが分析して報告
◆ご提供価格:150万円~


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • ログ分析/ログ管理
2020.01.30

クラウド時代、ますます統合ログ管理をお奨めしたい理由

クラウドをオンプレミス共々、企業システムで活用されているケースは既に多いかと思います。今回は、そんなハイブリッドクラウド時代のシステムのログ活用についてスポットを当てながら、統合ログ管理を行うメリットを改めてお伝えしたいと思います。

  • エンドポイントセキュリティ
  • サイバー攻撃
  • ID管理
  • ログ分析/ログ管理
  • 認証
2019.12.16

ISMSとは?情報セキュリティの原点が掴める、ISMS概要解説

これまでの境界防御が通じなくなり、セキュリティ対策についての情報が溢れる今、情報セキュリティ対策の原点とも言える「ISMS」の考え方は情報整理に役立つかもしれません。今回はその概要を、簡単におさらいしてみましょう。

  • ログ分析/ログ管理
  • エンドポイントセキュリティ
  • テレワーク
2019.06.13

テレワークは9割近くが未導入?!63名に聞いたテレワークの現状と課題

働き方改革をITで実現するテレワーク。実際にどの位の企業が取り入れられているのでしょか?アシストで開催したセミナーでお客様から頂戴したアンケートでは9割が未導入という結果でした。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る