日本企業の９割が満足にできていないセキュリティ対策「ログ管理」の重要性 ～ 網屋・ＧＳＸ

　その瞬間、返す言葉が見当たらず、何も言うことができない沈黙の時間が流れた。

　セキュリティインシデント緊急対応相談窓口での、被害に遭った企業との会話である。実際はわずか 2 ～ 3 秒のことだったのかもしれないが、1 分も 2 分もその沈黙は続いたように緊急対応相談窓口の担当は感じた。

　「どの会社さんからも断られて困っています。何とか力になっていただけないでしょうか」被害に遭った企業の恐らくは情報システム部門の人物は最初にそう告げた。

　近年、DX の進展等によって、サイバー攻撃による被害件数が増加している一方、被害からの調査・復旧を対応できるセキュリティ企業の数は限られており、被害の調査・復旧対応の依頼に応じてもらえないケースは少なくない。特に中堅・中小企業で起こった被害にその傾向は強い。

　何とかしてやりたい。たとえ予算が限られていたとしてもできる限りの対応をしよう。緊急対応窓口の担当は本心からそう思った。

　セキュリティインシデントの発生から復旧宣言までには、いくつもやるべきことがある。例えば、ランサムウェアによる暗号化被害の拡大を防ぐために、サーバや PC を社内ネットワークから切り離すなど、被害の拡大を防ぐことが挙げられる。攻撃のプロセスや原因を探るフォレンジック調査は、発生原因に対する対処や以後のセキュアな運用を構築するために欠かすことができない。原因がわからなければ最適な打ち手を講じることは困難である。

　フォレンジック調査のために必要な、ログの所在や内容について相手に確認したのだが、これが一向に要領を得ない。何度か押し問答を続けると、どうやらログの管理以前に、そもそもログの収集保存がなされていないという恐るべき事実が判明した。数秒間、しかし体感では数分間にも思える濃密な沈黙が流れたのがまさにこの時だった。

　それは、何が起こったのかを真に理解した瞬間だったし、当の被害企業がその重大さに気がついてすらいないことを理解した時間でもあった。この人たちは単にサイバー攻撃の被害に遭ったとしか思っていないのだ。これからこの気の毒な会社に起こるであろうことが、過去ではなく未来を映す走馬灯のように、担当者の頭の中を夢幻のごとく駆け巡った。つまり、歯切れが悪くならざるを得ないステークホルダーへの報告や、サーバーのリプレイス、果ては最悪ゼロからのシステム再構築等々の、復旧までに長い時間を要する悪夢のような未来である。

　サイバー攻撃からの調査・復旧対応依頼が来てログが無いということは、飛行機事故調査でフライトレコーダーが見つからないことに似ている。あるいは会社の経営再建の依頼を受けたが、調べてみたら帳簿を作成せずにこれまで経営が行われていたことに気づくようなものか。ログもなしにフォレンジック調査を行ったところで、必要な結果を得ることは困難である。証拠（ログ）がなければ、原因は特定できないのだから。

　しかし驚くなかれ、どうやら日本の至るところで同様の事態が発生しているらしい。

　近年編集部は、インシデントレスポンスの現場におけるログ保存や管理等に関して複数の企業を取材する機会を得たが、サイバーセキュリティ事故発生直後の会社で実によくあるのが「ログがない」「あっても不充分で使いものにならない」という問題だという。

　こうした事態を背景として、2023 年 8 月、グローバルセキュリティエキスパート株式会社（GSX）と株式会社網屋は、両社の戦略的業務提携を発表している。相互に株式の一部を取得し、現在特に中堅・中小企業において対応が遅れている、ログの収集保存や運用管理の習慣やノウハウを、日本国内に普及させていくことを重要な目的のひとつとして掲げている。

　おそらく両社にとってこの提携は、差し迫った必要に迫られてという事情もあったに違いない。すなわち GSX にとってはログがないために有効な手を打てない「無念の現場対応」を何度も経験して来たし、網屋にとっては中堅・中小企業へのセキュリティ教育に強い GSX のノウハウで、ログの収集保存の有効性を、なんとかわかりやすく伝えて欲しい、という願いがあるだろう。

　グローバルセキュリティエキスパート株式会社 上席執行役員 サイバーセキュリティ事業本部 本部長 兼 サイバーセキュリティ研究所所長の鈴木 貴志（すずき たかし）氏と、株式会社網屋 取締役 データセキュリティ事業部 事業部長 佐久間 貴（さくま たかし）氏の二人に、企業のログ管理の現状や課題について話を聞いた。取材は 2023 年 9 月下旬に実施された。

●網屋発展の軌跡

　株式会社網屋は 1996 年、ネットワークインフラの設計と構築を行う企業として創業、2005 年に自社製品の「ALog ConVerter（エーログ コンバータ）」を発売、セキュリティ事業領域に本格的に進出した。個人情報保護法施行や内部統制等を契機として、最初は金融機関などを主な顧客として事業を成長させていった。

　たとえば Windows OS で何かひとつのファイルを開くと、それだけで20 行程度のログが発生する。この生ログを保存しやすくするために「圧縮」し、かつ管理者が理解しやすいように「翻訳」するのが ALog ConVerter の技術であり、特許も取得している。ALog は、生ログのままではとっつきにくかったログの分析や保存、運用管理を容易にし、ログ管理の裾野を広げることに成功した。

　その後さまざまな機器のログを一元管理できる統合ログ管理製品「ALog EVA」をリリース、現在はAI を使ったリスク判定機能を持つなど、製品シリーズは充実していく。やがて NEC や富士通他の、セキュリティ製品に対して「目の肥えた」パートナーにも販路を拡大、今年 2023 年春には、ネットワークやクライアント PC、利用しているクラウドサービスなど企業が活用するデジタル環境すべてのログをまるっとクラウドで管理する「ALog Cloud」へと製品を進化させた。

　佐久間氏によれば、高度な翻訳機能に加え国産製品であることが ALog シリーズの成功要因のひとつとして挙げられるという。日本で開発された日本人にわかりやすい UI（ユーザーインタフェース）と UX（ユーザーエクスペリエンス）、そして当然日本語による素早いサポート対応、日本のビジネス環境に合わせた機能追加が、日本企業や官公庁の支持を得た。加えて地政学上の安心感や、そして近年は、為替による料金変動リスクが無い点も評価されている。

　これは本誌の分析になるが、「適正価格」であることも ALog シリーズの強みのひとつだ。グローバル企業でもなければ容易には手を出しにくい価格帯の、Exabeam や Splunk、QRadar などの SIEM 製品等と比較して、ALog シリーズは日本の中小企業でも利用しやすい。

●日本企業におけるログ管理実態

　取材の冒頭で、GSX の鈴木氏から「緊急対応でサイバーインシデントが起こった会社を訪問すると 9 割方ログが存在しない」という衝撃的な数字が飛び出した。

　網屋の佐久間氏はこれを補足し、金融業界や公共インフラなどではログが保存されきちんと管理されているものの、それ以外では、たとえ上場企業ですらログを「取りっぱなし」で充分に管理されておらず、いざというときに検索等の活用ができなかったり、保存期間が短く消失している等の例が多く、管理が適切に行われている組織は少ないと語った。「上場企業以外でログを適切に保存し管理しているのは非常に少ない（網屋 佐久間氏）」という。

　GSX の鈴木氏によればその理由は、有事の後に活用される側面が強いログ管理よりも、ユーザー企業は EDR（Endpoint Detection and Response）などの攻撃を防御する製品を先に導入したい意向が強いからだという。

●ログを取得し活用できるよう運用管理しておく 3 つのメリット

　網屋の佐久間氏によれば、企業にとってログの管理には以下のメリットがあるという。

　一つは事前と事後のサイバー攻撃対策である。ログの分析によって、偵察行動やペイロード実行前の段階でサイバー攻撃を予兆や徴候として察知したり、攻撃を受けた後の調査で原因を分析し被害範囲を特定することで事業再開の短縮につなげることができる。ステークホルダーに向けて発生した事故の説明責任を果たすことも、ログがあることで可能になる。反対に言えば、ログがなければこうした対応を行うことは極めて難しい。

　二つ目は、近年その対策の必要性が広く認識されつつある、内部脅威への対策だ。内部不正の実行は、平日や就業時間を避けて実行される傾向があるが、メールや Web、ファイルアクセスなどからこうした不審な動きを検知することができる。また、単に端末ログ等の収集保存の事実を、社内に静かにアナウンスするだけでも猛烈な抑止力を発揮する。

　近年は、従業員の PC 操作ログを生産性向上の分析に用いるなど、働き方改革を目的とした利用もされている。働き過ぎの従業員を見つけたり、工場やオフィスの気温や時刻と生産能力を相関分析するような使い方だ。

　そして、三つ目のログの運用管理の目的は ISMS 等々の各種監査への対応である。

●ログがなかった企業の「末路」

　冒頭に書いたログを取っていなかった企業の話は、複数の取材から得た事実をもとに編集部が構成した架空エピソードだが、ログを収集保存していなかったことで厳しい事態に直面した事例について、GSX の鈴木氏が特に印象深かった事例を挙げた。

　鈴木氏によれば、それはランサムウェア攻撃の被害だったという。ランサムウェア被害では、業務に必要なサーバが暗号化されて動かなくなるため、被害企業はなるべく早く業務を復旧したいのだが、バックアップから戻す際に、さて昨日のバックアップでいいのか、それよりも前にまでさかのぼる必要があるのか、侵入年月日と時刻をログから確定できないため判断できなかったという。

　それだけではなく、個人情報が抜かれたのか抜かれていないのかも判断できないため、ステークホルダー等への報告が明解さを著しく欠いてしまった。

　こんな悲惨なケースもあったそうだ。それは、侵入経路や感染範囲を特定して脆弱性を塞いだり追加の対策を実施しなかった（ログが無くてできなかった）ため、復旧作業の途上で、再度同じランサムウェアによる攻撃が実行され、二度目の暗号化がなされてしまった事例だ。

　近年では、ログサーバを暗号化の標的にするランサムウェアが増加しており、ログをクラウドに預ける「ALog Cloud」のようなサービスの有効性についても鈴木氏は言及した。

　網屋の佐久間氏は、ログの運用管理を適切に行えばサイバー攻撃に強く、業務再開までの時間を短縮し、事業継続性を高めることができると補足した。

●転ばぬ先の杖、普及なるか

　経産省等によるビジネスのデジタル化の推進により増加した EC サイトや Web サービスなどがサイバー攻撃の被害に遭う例が増えている。また、サプライチェーンリスクとも呼ばれる、大手企業の取引先である中堅・中小企業を標的とする攻撃も増加している。本記事の冒頭で、編集部が近年、インシデントレスポンスの修羅場におけるログ管理をテーマとした取材を行う機会が増えていると語ったが、端的にそれは、サイバー攻撃の被害に遭ったものの、困っている企業が多いということである。

　「転ばぬ先の杖」という言葉があるが、ことセキュリティ対策に関していえば、大企業ですら「転んではじめて杖の必要性を理解する」ようなケースも少なくない。中堅・中小企業を主要ターゲット層に、ログの運用管理の必要性を普及させるという、GSX と網屋の共同による取り組みがどれだけ実を結ぶか期待される。

　正直言って企業の業務提携の大半は、よくよく見ると弱者連合結成のような、パッとしない例も少なくない。一方で今回の、セキュリティ教育の雄 GSX と、日本のログ管理の第一人者である網屋の戦略的業務提携は、ユーザー企業にとって期待できる動きと言える。この 2 社が本気を出すなら「インシデントが発生した企業の 9 割にログがない」などという壊滅的状況が良い方向に変化するかもしれない。

追伸
　サイバーセキュリティに関する調査や、とりわけインシデントレスポンスに関わる取材やインタビューでは、誰でも閲覧可能な Web ページには少々掲載しづらい内容の話が語られることも少なくない。今回の取材でいうなら、網屋の佐久間氏が語ってくれた、とある開発会社がサイバー攻撃を受けたことで、本当に事業の存続に関わる事態になったエピソードがそれに該当する。複数の条件が重なったことでその開発会社と網屋双方にとって「一番長い日」となったという。

　こうした掲載しづらい話の多くは、単に編集部の取材メモとしてだけ残され、そのメモはデジタルデータであれば削除され、ハードコピー的なものなら機密回収ボックスに廃棄され化学的に溶解処理されるから、決して日の目を見ることはない。

　しかし今回、グローバルセキュリティエキスパート株式会社と株式会社網屋の理解と協力により、編集部メモの当該インタビュー部分を記事として構成した「B 面記事」の配信許可を得ることができた（「A 面 / B 面」の意味がわからない読者もいるかもしれないが、その際は検索して欲しい）。

　B 面記事の閲覧は、下記 URL の GSX 社のサイトから無料でダウンロードすることができる。ただし所属や氏名等の登録が必要となる。B 面記事では、「一番長い日」のエピソードに加えて、「インシデント発生から業務再開までの時間を短くすることができるログ管理のポイント」という TIPS 的項目も加えた。ログ管理により深い興味がある場合ご利用いただきたい。

　B 面記事 ダウンロードページ
　https://www.gsx.co.jp/securityknowledge/document/download/alog_bside