企業に求められるログ管理(2)〜ログ管理の課題と解決策〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

企業に求められるログ管理(2)〜ログ管理の課題と解決策〜

特集 特集

 近年、企業の内部統制への関心の高まりからログが注目を集めている。そこでログとは何か、ログで何が分かるのか、ログの必要性をもう一度振り返り、更に、大量のログを有効活用することが可能となる統合ログ管理製品のそれぞれの特徴を3回にわたって解説する。

●ログ管理の課題

 システム障害に対応するだけならば、ログをどこかのログサーバに集約保存し、grepのような仕組みで障害情報を自動切り出しするという単純なログ管理だけで十分だった。そもそも障害が発生しなければ、ログを見る機会もそれほど多くない。原因が機器の故障であれば、それ以上原因を追究したり分析する必要もない。

 しかし、ログ取得の目的が広がるとともに、これまで取得しなくてもよかったさまざまなログを取得しなければならなくなり、単純に管理すべきログの総量が増大してきているという問題がある。そのため、大量のログをかき集めたはいいものの、そのまま有効活用されずに削除されてしまったりして、後から何かを調査しようとしても、思うようにならないケースもままある。

 加えて、ログの内容から、その妥当性を人間の手で判断する必要が出てきたため、豊富な経験と技術を持ったオペレータが必要となるばかりか、場合によっては情報システム部門の範囲を飛び越えた判断が必要となることも考えられる。

 情報システムの業務における比重が増大した結果として、これはある意味当然のことともいえる。

●統合ログ管理ソリューション

 これを解決する手段として注目を浴びているのが統合ログ管理と呼ばれる分野の製品である。

 統合ログ管理製品の特長は下記のようなものだ。

(1)ログを収集し、統合する

 syslog などの一般的な形式であればあまり気にしなくて良いが、世の中にあるさまざまなログの形式に対応するため、いろいろな方法でログをかき集めてくる機能が必要とされる。従来のsyslog収集パターン以外に、サーバにエージェントをインストールしたり、ログ集約サーバから対象機器にログインしてログファイルを取得するといったインプットパターンが考えられる。

(2)ログの検索

 期間、対象機器、特定の単語などの条件をベースに、膨大なログの中から必要な情報を絞り込む仕組みを持つ。

(3)ログの分析

 ハードウェアの故障は「ある機器のある部位」といった、すなわち一箇所で発生する。しかし、「Webサーバを経由したSQLインジェクションによりデータベースに不正アクセスする」といったケースではどうだろう。その不正アクセスはファイアウォールを通過し、Webサーバを通り抜け、アプリケーションサーバに送られ、最終的にデータベースにたどり着くと考えた場合、複数のシステムコンポーネントに関連する情報が蓄積されていると思われる。単純にデータベースが書き換えられたという事象を目にしただけでは、「だれが、どうやって」それを行ったのかといった調査・究明は困難である。不正アクセスの実態を知るためには、ひとつのインシデントを多角的に分析し、関連する情報を迅速に集めるための仕組みがあるとよい。

(4)レポート機能

 ある期間内のログを集計し…

【執筆:NTTデータ・セキュリティ株式会社 CISSP 天野 寛生】


【関連記事】
企業に求められるログ管理(1)〜ログ取得の目的とは〜
https://www.netsecurity.ne.jp/7_12899.html


【関連リンク】
NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×