企業に求められるログ管理(3) 〜各種統合ログ管理ソリューションの特長〜

　近年、企業の内部統制への関心の高まりからログが注目を集めている。そこでログとは何か、ログで何が分かるのか、ログの必要性をもう一度振り返り、更に、大量のログを有効活用することが可能となる統合ログ管理製品のそれぞれの特徴を3回にわたって解説する。

特集特集

2009年3月3日（火） 16時25分

　近年、企業の内部統制への関心の高まりからログが注目を集めている。そこでログとは何か、ログで何が分かるのか、ログの必要性をもう一度振り返り、更に、大量のログを有効活用することが可能となる統合ログ管理製品のそれぞれの特徴を3回にわたって解説する。

●ログ管理の現状と問題

　本連載の第1回では、syslog形式とイベントログ形式の、オープン系のシステムで目にすることの多い一般的な2つのログ形式とその違いについて解説し、ログ取得の目的が、これまでの「システムの障害」だけではなく、「システムの不正な動き」までをもカバーすることが求められている時代の変化について述べた。

　第2回では、こうして目的が広がることで、これまで以上に多様なログを取得しなければならなくなり、管理すべきログの総量が増大しており、せっかく収集されたログが有効活用が難しくなっている現状があること、そして、ログ分析に、これまで以上の、豊富な経験と技術、ときには情報システム部門の範囲を飛び越えた判断が必要となることを解説した。

　連載の最終回となる今回は、具体的な統合ログ管理ソリューションを挙げながら、どのように上記の課題を解決しているのかを検討する。

●さまざまな統合ログ管理ソリューション

　多様な統合ログ管理ソリューションと、その特長を見ていこう。

【RSA enVision】

　ログのような非構造データに最適化された専用データベース「LogSmart IPDB」を採用し、高パフォーマンスと約95%の高い圧縮率を実現している。これにより、フィルタリングをせずにすべてのログを収集することが可能となっている。

　フィルタリングを行ってしまうと、収集したログが全ての実態を反映していないなど、さまざまな調査の現場で分析に不都合を生じるケースも多いため、すべてのログを集められるメリットは大きい。また、複数機器間のイベント情報を関連付けての相関分析機能を持つ。セキュリティポリシーやコンプライアンスの管理に向いているといえるだろう。

【LogAuditor】

　内部統制の有効性評価や監査への対応を目的に、多種多様な情報システムのログを、専用データベース上で一元管理する。圧縮率は約10分の1を実現。専用の分析用データマートとExcelのアドインツールが付属しており、日々の業務で容易にレポートが作成できる。

　また、各種データベースセキュリティツールやファイルサーバアクセス監視ツールとの連携製品が用意されている。

　内部統制というキーワードで結びつけられる製品として、同様のアーキテクチャーを用いたメールアーカイブ製品「Log Auditor Mail Saver」も開発。

【SenSage Enterprise Security Analytics】

　1秒間200万レコードのスキャン性能と約10分の1の圧縮率を実現。商用製品約180のログフォーマットに対応しており、スムースな導入が可能。また、ログの増加に伴うシステムの拡張性も考慮したアーキテクチャとなっている。このため、スモールスタートで初期導入コストを抑えるという選択肢も考えられる。

　ログ検索、レポート作成、異常検知といった機能を一通り備え、個人情報保護法や内部統制対応に向いている。

【ArcSight Enterprise Security Management】

　数百種類の機器のログフォーマットに対応。イベント識別のための強力な相関分析機能が特長。

　ArcSigth ESMの備える相関分析機能は以下のようなものがある。「本人識別と役割のリアルタイム相関分析」「ネットワークログの動的なリアルタイム相関分析」「ロケーション情報のリアルタイム相関分析」「マルチステージアタックの相関分析」「状況の相関分析」。

　内部統制向けの、どちらかというと「静かな」な使い方に対し、アタックの脅威につねに直面しているクリティカルなシステムにおけるセキュリティソリューションとして役立つ。

【LogStorage】

　ブラウザベースでの条件指定による検索機能、検索結果から関連するログを次々に再検索するトラッキング機能を備える。圧縮率は約10分の1。ログに電子署名を付加することによりログの完全性を証明することもできる。ログの収集方法は、syslog経由、Agent導入によるもの、ftpによる収集がある。

　各種データベースセキュリティ製品や監視ツールとの連携製品も幅広くそろえている。

●膨大なWindowsイベントログの取り扱いに特化、ALogConverter

　ALogConverterは、これまで紹介してきた統合ログ管理ソリューションではなく、Windowsファイルサーバのイベントログの収集に特化した製品で、ファイルに対するアクセスログと、ログインのイベントログを対象としている。ファイルアクセスログとは、Windowsのオブジェクト監査機能を有効化することで発生するイベントログを指す。

　オブジェクト監査機能を使ったことのある方はご存知だと思うが、実に大量のイベントログが発生する。Explorerシェルのようなアプリケーション操作のレベルではなく、もっと下位のレイヤーの情報をイベントログ化しているため、たとえば Microsoft Word のファイルを一度開いただけでも、複数の読み出し記録が発生する。こうした大量のいわば「扱いずらい」情報を見やすくサマライズしてくれるのが ALogConverter の特長だ。

　もうひとつの特長は、イベントログに対する高い圧縮効果で、製品コンセプトとして汎用性を捨ててイベントログに特化したため、数千分の一から数万分の一の圧縮率を実現した。

　ALogConverter のモデルは、ログの収集対象である各ファイルサーバでクライアントプログラムが動作し、イベントログを圧縮したうえで ALogサーバに送信するというクライアント−サーバ方式をとっており、圧縮効果のおかげでデータ送信時にネットワーク帯域を圧迫しない。センターと各拠点間が専用線などの比較的細い回線で結ばれているような、全国に拠点を持つ企業が、オブジェクト監査ログを集中管理しようとした場合などに役立つだろう。

　ALogConverter で収集したログファイルを…

【執筆：NTTデータ・セキュリティ株式会社 CISSP 天野　寛生】

【関連記事】
企業に求められるログ管理(1)〜ログ取得の目的とは〜
https://www.netsecurity.ne.jp/7_12899.html
企業に求められるログ管理(2)〜ログ管理の課題と解決策〜
https://www.netsecurity.ne.jp/7_12936.html

【関連リンク】
NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》