ログはシステムの状態を把握したり、障害時の調査に用いられたりと、多くの場面で活用されています。特にセキュリティ対策におけるログ活用のニーズが高く、多数のセキュリティガイドラインでログ管理の必要性が明記されています。しかし、それらのログ管理要件を適切に理解して活用するためには、ログ管理に関する十分な知識が必要です。
そこで本記事では、ログ管理の理解を深めるための出発点として「ログ管理とは何か」や「セキュリティ対策におけるログ管理の必要性」、「ログを管理する上での課題」などをご紹介します。
ログとは
ログとは、電子機器やシステム、ネットワークなどで発生するイベントの履歴・記録のことです。ログには「いつ、誰が、何を、どこで、どうやって、どうなった」を示す情報が含まれています。
ログを見ることで「事実の確認」「過程の確認」「将来の予測」が可能です。
| 項目 | 概要 |
|---|---|
| 事実の確認 | ログを確認することで「どのような処理が行われたのか」という事実がわかる。 |
| 過程の確認 | 時系列でログを追うことで「結果に至るまでの処理の流れ」という過程がわかる。 |
| 将来の予測 | ログの傾向を分析することで「機械の故障の予兆を検知する」などの将来を予測できる。 |
ログ管理とは
ログ管理とは、ログデータを生成、収集、保管、活用、破棄するプロセスのことを指します。
| 項目 | 概要 |
|---|---|
| 生成 | 要件達成のために必要なログを選別したり、出力項目を設定したりする。 |
| 収集 | ITシステム上に点在するログを特定の場所に集約する。 |
| 保管 | 集約したログを必要な期間、安全に保持する。 |
| 活用 | 目的や要件を達成するために、集約・保管したログを用いる。 |
| 破棄 | 不要なログを破棄する。 |
ITシステム上では、多岐に渡るログが日々出力されており、ログの形式や内容、保存期間などは生成元により異なります。
それらのログを活用したいと考えていても「特定のログが参照できない」「必要な情報がログに含まれていない」「分析対象となるログがロストしていた」などの理由から、活用に至らないケースがあります。そのため、ログを活用する前段階として、ログを適切に生成、収集、保管することが大切です。
また、ストレージ容量の観点からも、不要なログを破棄することが望ましいです。
セキュリティ対策におけるログ管理の必要性
昨今、脅威を防ぐ難易度が上がっています。テレワークやクラウドサービスの普及など、デジタル環境は大きく変化しました。それらに関連した脆弱性や設定不備、認証情報の不備を突かれるケースが多く存在します。また、人材の流動化による退職者の増加、テレワークの普及による社外での機密情報の取り扱いなどから、内部不正への対応も難しくなっています。
そのような状況下において、被害を軽減する上でログ管理は大事な役割を持ちます。
ログ管理の重要性は、さまざまなセキュリティガイドラインにおいてログ管理要件が明記されており、その内容も続々と改訂されている点からも伺えます。
| 業種/業界 | ガイドライン |
|---|---|
| 金融 | 金融機関等コンピュータシステムの安全対策基準・解説書 |
| 重要インフラ | 重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針 |
| 地方自治体 | 地方公共団体における情報セキュリティポリシーに関するガイドライン |
| 水道 | 水道分野における情報セキュリティ確保に係る安全ガイドライン |
| 教育 | 情報セキュリティポリシーに関するガイドライン |
| 企業全体 | サイバーセキュリティ経営ガイドライン |
| 官公庁 | 政府機関の情報セキュリティ対策のための統一基準 |
| 中小企業 | 中小企業の情報セキュリティ対策ガイドライン |
ここからは、ログ管理がどのように被害軽減に繋がるか見ていきましょう。
脅威の検知
ログを管理することで、脅威を検知できます。
ここでは、DoS攻撃を例に考えてみましょう。DoS攻撃とは、サーバ・Webサイトに過剰なデータやトラフィックを送る攻撃です。DoS攻撃を受けると、平常時と比較して大量のトラフィックが発生する傾向にあります。
例えば、組織で利用しているwebサーバのトラフィックが毎月1000回程だとします。それに対して、「3秒間で100回以上のトラフィックログが発生」した場合、それは異常な値だと考えられます。そこで、「3秒間に100回以上のトラフィックログの発生」を検知ルールとして設定することで、脅威に気づける可能性が高まります。
また、脅威の中にはルールによる検出が難しく、従来のセキュリティ製品では検出できないものもあります。例えば、「過去の攻撃シナリオに該当しない新しい攻撃」や「内部不正による情報漏えい」などが挙げられます。
検出が難しい脅威に対しては、日頃からログをモニタリングして、平常時の状態を把握しておくことが大切です。そして、平常時と違う傾向があらわれたら、そのログを追跡・分析することがインシデント予兆の発見に繋がります。
その結果、他セキュリティ製品では検出できなかったインシデントを未然に防いだり、被害が拡大する前に迅速に対応できたりします。
フォレンジック調査
ここで言うフォレンジック調査とは、ITシステム上に残る記録から被害の影響範囲や原因などを調査分析することを指します。
フォレンジック調査をする上で、ログは重要な情報の一つとなります。ログには「いつ、誰が、何を、どこで、どうやって、どうなった」という情報が含まれており、事実関係や被害の影響範囲、発生経路、原因特定などの調査に不可欠です。
ログを適切に関していない場合、「特定のログが参照できない」「必要な情報がログに含まれていない」「調査対象となるログがロストしていた」などの理由で、フォレンジック調査が実施困難になることも考えられます。
一方で、ログを適切に管理しておくことで、発生経路や原因特定の調査をより短期間で行うことができます。その結果、被害を局所化できたり、ステークホルダーに公表するまでの期間を短縮できたりというメリットが得られます。
ログ管理の課題
ログを管理することで、脅威の検知やフォレンジック調査ができることをご紹介しました。しかし、それらを行うためにはいくつもの課題が存在します。そこで、ここからはログ管理の課題を収集・保管・分析の段階別にご紹介します。
収集
ログを収集する際の課題として、以下が挙げられます。
課題・ITシステム上にログが散らばっている
・システムごとにログの確認方法が異なる
サーバやアプリケーション、ファイアウォール、侵入検知ソフトなど、ログの収集対象は多岐に渡ります。それらのログは、ITシステム上に分散しており、管理者は各サーバ・ソフトウェアなどにログインして一つずつログを確認しなければなりません。
そのような状態では、ログの確認に膨大な工数がかかります。特定のログを迅速に参照できなかったり、有事の際の調査に多くの時間がかかったりと、さまざまな問題を引き起こします。
保管
ログを保管する際の課題として、以下が挙げられます。
課題・容易にログを改ざんできる
・ログ量によっては、ストレージを圧迫する
・生成元によりログの保持期間が異なる
攻撃者は、ログを書き換えて痕跡を消すことができます。また、脅威が発生してから1年以上経って気づくケースもあります。そのため、ログの長期保持が求められますが、生成元によっては90日でログを破棄するものも存在します。
ログが書き換えられていたり、破棄されていたりすると、被害範囲の調査や原因特定などが困難になります。しかし、ログを数年にわたり保管したい場合、ストレージ容量を圧迫することが予想されます。
活用
ログを活用する際の課題として、以下が挙げられます。
課題・多様な分析要件を満たすことができない
・分析に必要な情報がログに含まれていない
・生ログを読んで理解することが難しい
脅威の検知やインシデント予兆の発見、フォレンジック調査をする上で、複数システムのログを組み合わせて分析・活用するケースが多いです。
しかし「複数のログを組み合わせるためのキーとなる情報が含まれていない」「検知や調査に必要な情報がログに含まれていない」などの理由から、生ログのままでは多様な分析要件を満たすことは困難です。また、生ログは難解なため「ログの理解に多くの時間を要する」などの課題もあります。
そのため、調査・分析を進める上で、生ログに意味付け・タグ付けをして分析できる形にしたり、ログの統計情報をグラフ化したりといったデータの加工が必須になります。
ログ管理の課題を解決する「Logstorage」
主な導入目的・各種法令/ガイドラインのログ管理要件(SIEM要件)への対応
・クラウドとオンプレミス環境を跨いだシステム全体の監視と分析
・システムの異常に対する早期対応
・サイバー攻撃の拡大阻止と被害確認
Logstorageは、サーバやネットワーク機器等、企業内の情報システムから出力される、あらゆるログを統合管理できるパッケージソフトウェアです。完全自社開発の純国産製品で、保守やサポートもすべて社内のスタッフで行っています。
国内の主要なシステムインテグレータをはじめ、製造業、官公庁、自治体、金融機関、IT通信業界、公共交通機関、大学や研究機関など、国内でもトップクラスの重要な基幹システムのお客様から多数の信頼を獲得しています。
Logstorageは、先述したログ管理の課題に以下のように対応します。
収集時の課題・ITシステム上にログが散らばっている
・システムごとにログの確認方法が異なる
Logstorageは、オンプレミスからクラウドまでITシステム上に散らばるログを自動で収集し、独自DBに集約します。ログの確認先はLogstorageの1か所のみとなり、日々の確認作業にかかる工数を大幅に削減できます。また、監査人や分析官など、システムに詳しくない方でも容易かつ迅速にログを確認できます。
保管時の課題・容易にログを改ざんできる
・ログ量によっては、ストレージを圧迫する
・生成元によりログの保持期間が異なる
Logstorageにはログを安全に長期保管するための機能が充実しています。例えば以下の機能があります。
- ログの改ざんを検出する機能
- ログを暗号化する機能
- ログを最大1/10に圧縮できる機能
- ログを長期保持するためのアーカイブ機能
Logstorageを利用することで、原本性を維持しつつ、ログを安全に長期保管することができます。
活用時の課題・多様な分析要件を満たすことができない
・分析に必要な情報がログに含まれていない
・生ログを読んで理解することが難しい
Logstorageには、ログに含まれない情報を付加する機能や、ログ項目に対して意味付け・タグ付けできる機能があります。それにより、あらゆるシステムのログを横串で検索・集計・分析できるようになります。
他にも、以下のような機能があります。
- クリック操作だけで直感的にログを分析できる機能
- レポートを自動生成できる機能
- 異常な兆候を検知して通知するアラート機能
- 生ログを読みやすい形式に変換する機能
これらの機能により、ログモニタリングやレポーティング業務の効率化などを支援します。
>>Logstorage製品ページはこちら
