- ログ分析/ログ管理
ログ分析はなぜ必要?ログ分析の期待効果と運用ポイント
監査や何かあった際の証跡を残すという観点だけではなく、セキュリティの観点でのログ分析の効果と、効果を上げるための運用ポイントをおさらいします。
|
ログ管理とは、各システムに存在しているログを活用しやすい状態に管理することです。ログ管理をしていないと、いざ調査が必要な際にログが消失してしまっていたとか、チェックするべき観点が分からず、調査に時間を要してしまう、といったことがあります。
ログ管理を導入するきっかけは、企業によって様々です。従来から多かったのは、監査対応だったり、業界基準に則った認証取得のためだったり、あるイベントに基づいたものでしたが、最近では目的そのものが多様化しており、「不審な操作をいち早く発見したい」「原因特定の後追いをしたい」といった、セキュリティ対策の強化、見直しを目的とすることが増えているようです。このことは、22年4月から施行された改正個人情報保護法によりインシデントの報告が義務化されたことや、オリンピック開催、紛争勃発によるサイバー攻撃激増、といった背景があるのかもしれません。
いずれにしろ、ログ管理は、自社のどんなログをどう活用するかによって、さまざまな期待効果を秘めていると言えます。
どんなログを見るのか(例) | 目的 | 期待できること |
・ファイヤーウォールのログ ・プロキシサーバのログ |
標的型攻撃対策 | 不正アクセスの検知 |
・ファイル操作ログ | 内部不正対策 | 情報持ち出しの抑止 |
・ファイル操作ログ ・認証システムのログ |
内部統制 | 規則通りのデータ利用 |
・勤怠システムのログ | 労務管理 | 「隠れ残業」の抑止 |
ではログ管理にはどのような方法があるのでしょう。ログ管理を実現するソフトは市場に多くありますが、選ぶにあたって検討したい、代表的な分野が2つあります。統合ログ管理とSIEMです。この違いを比較してみると、選択肢の整理がとてもしやすくなります。
ログ管理ソフトの代表的な分野、統合ログ管理とSIEMを比較してみましょう!まずはそれぞれの背景の違いです。統合ログ管理は、ここ20年ほどの個人情報保護法や内部統制(J-SOX)対応といった、法令順守の必要性の高まりを背景に広まりました。一方でSIEMは、ここ10数年ほどの標的型サイバー攻撃への対応のために注目された分野です。攻撃者たちが次第に組織化、大規模化して企業への脅威を増す存在となったことで、企業もあらゆる多層防御の方法を模索する必要に迫られたと言えます。
このように法令順守の観点から、後付けでも良くログを活用できればよい統合ログ管理に対し、サイバー攻撃対策としてのSIEMには即時性が求められます。また、SIEMは自動で分析する複雑な機能を持たせているため、価格が比較的、高くなる傾向があります。
|
統合ログ管理とSIEMは、注目されてきた背景が異なることで、長けていることが異なる、という点が最も重要です。以下のように、それぞれが効果を発揮できそうな推奨目的をまとめてみました。ログ管理ソフトに何を選べばよいか迷っている場合は、ぜひ、自社の目的とのすり合わせをしてみてください。
なお、統合ログ管理とSIEMは連携も可能です。
種類 | 長けていること | 推奨目的 | 利用イメージ |
統合ログ管理 | 各システムにあるログを集めて長期保管し定型分析すること | 障害調査や監査時に操作の正当性を示すための材料 | 日次や月次で作成された定型レポートを、担当者が関連付けて操作の正当性などを判断する |
SIEM | 不正な操作などのログをいち早く発見すること | セキュリティインシデントへの対処 |
収集した各種ログをSIEMがリアルタイムかつ、自動でふるいにかけて関連付けをし、不正や脅威と考えられる怪しいイベントが担当者にアラート通知される |
ただ、初めてログ管理を導入する場合、SIEMを緊急で必要とする場合を除き、統合ログ管理を選ぶケースは多いです。統合ログ管理は、比較的安価で導入、運用がしやすく、システムのログをオンプレやクラウドに分散している状態から、集めて活用まで進める第一ステップとしてはお奨めです。
※アシストでは、統合ログ管理ツールとして「Logstorage」をご紹介しています。
以上のように、ログ管理にはさまざまな効果が期待できること、ログ管理の代表的な方法は統合ログ管理製品と
SIEMがあり、それぞれ長けていることが異なることをご紹介しました。
・ログを集めて長期保管し、定型で分析をしたい:統合ログ管理を選択
・ログから即時、セキュリティインシデントに対応できるようにしたい:SIEMを選択
選定にあたっては、目的を慎重に伺い、どのようにツールを選定すればよいか、多くの提案実績に基づいた事例をたくさんご紹介できますので、ぜひアシストにご相談ください。
なおこの記事ではお伝えしきれなかった、利用イメージや守備範囲の違い、運用のポイントまでが図解でわかる資料をダウンロードいただけます。今後のご計画のご参考や情報収集に、どなたでもお気軽にご利用ください。
長谷川 まり
|
|
監査や何かあった際の証跡を残すという観点だけではなく、セキュリティの観点でのログ分析の効果と、効果を上げるための運用ポイントをおさらいします。
クラウドをオンプレミス共々、企業システムで活用されているケースは既に多いかと思います。今回は、そんなハイブリッドクラウド時代のシステムのログ活用についてスポットを当てながら、統合ログ管理を行うメリットを改めてお伝えしたいと思います。
これまでの境界防御が通じなくなり、セキュリティ対策についての情報が溢れる今、情報セキュリティ対策の原点とも言える「ISMS」の考え方は情報整理に役立つかもしれません。今回はその概要を、簡単におさらいしてみましょう。