ログ分析はなぜ必要？ログ分析の期待効果と運用ポイント

ログは企業の重要な情報、データです。「いつ、どこから、だれが、どのように、何に対してアクセスしたか」が記録されており、主に監査やセキュリティ対策のシーンで必要とされることから、多くの企業で「何かあった時」のために各システムのログを保管していると思います。では具体的に、「何かあった時」というのは、どのような時なのでしょう。

ざっと挙げてみましたが、ログが役に立つのはこの時だけなのでしょうか。セキュリティの観点で言えば、そうではありません。攻撃や情報漏洩が行われるまでに、ログからその兆候を見つけられるポイントがあるからです。と、いうことは、もしそれらのポイントをきちんと監視していれば、「何か」が未然に防げるかもしれません。普段から、保管しているたくさんのログを分析できたら、1つ1つのログはセキュリティ対策の基盤を形成する、大事な財産になりそうです。

正常な状態を知らないと、異常の検知はしにくいものです。一見、何ということもないことも、それが起こる前の状態を知らないと、その事象が無視していいものかどうかがわからないからです。例えば休日に、管理者権限のアカウントがあるサーバにアクセスした、これは正常か異常かは、普段の運用やアカウントの利用形態を知らない限り判断ができませんよね。普段の動き、ログの出方を知ることは、異常を知る上で重要な要素と言えます。

急に「攻撃を受けたようだからログを分析してくれ」と言われても、何を？どうすれば？と四苦八苦する方はきっと多いはずです。普段見ていないものを見ろと言われても、初動はどうしても遅れてしまいますよね。どうしても見なければならない時というのは、往々にして緊急時で、迅速な対応を求められる場面になってしまいます。ですので、いわば避難訓練のように、普段から定期的に分析をして慣れておくことで、不測の事態にも落ち着いて対処できる効果があると言えます。

では、ログ分析の効果をもっと上げるにはどうしたら良いでしょう？運用という観点では、以下の2つを押さえておくと良いかもしれません。

ログ分析は、どのぐらいの頻度で行えば良いでしょう？ほとんどの企業では、ログ分析はいわゆる副業（本来の業務が他にある）状態で、担当者の方が行うことが多いと思います。そのため、「現実的に担当部署が継続して行える頻度」で行います。具体的には、長くとも半年に1回、可能なら週に1度などが良いでしょう。

理想では、インシデントが発生またはその予兆のタイミング、つまりリアルタイムで気づくことが出来ると良いのですが、そのようなリアルタイム検知は、仕組みの構築コストやそれを運用するパワー（多発する誤検知との戦い）など、課題が多いのも実情です。そのため、ある程度ログをまとめた上で分析を行う、それぞれの組織に則った運用ベースで考えるのが現実的な解となります。最も重要なのは、ログ分析は継続して行う必要があるということです。システムや運用の変更があれば、それを加味してログの結果を分析していくことも、考慮する必要があります。

セキュリティ教育では「当事者意識」が重要、とよく言われますが、組織全体としてログ分析の結果を共有する仕組みがあると、より効果的です。例えばプロキシのログから、社員たちが使った履歴を見せられたら、見せられた社員一人一人に当事者意識が芽生えるのではないでしょうか。業務に不要と思われるサイトへどれだけの人がアクセスしているかを知ることで、セキュリティ意識が高まり、不要なサイトへアクセスしなくなる、といった抑止効果が期待できます。

以上のように、ログ分析をすることで得られる3つの効果についてお伝えしました。

・正常な状態がわかるので、異常の検知がしやすくなる
・ログ分析に慣れておくことで、不測の事態に対応できる
・分析結果からセキュリティ対策の見直しができる

またこの効果を高めるためには、継続的にできることがまず重要であることと、さらに分析結果を共有することで、抑止効果も得られることをお伝えしました。

なおログ分析は、ツールを使って行うのが現実的です。アシストではログ分析ツールとして、「Logstorage 」をご紹介しているほか、お客様のログを分析、結果をご報告した上で、お客様でも分析ができるようスキルトランスファーをさせていただく「Ashisuto Security Analytics with Logstorage」というサービスも提供しています。サービスの詳細が載った資料（A4サイズ両面）を、以下からどなたでもダウンロードいただけますので、是非ご活用ください。