@IT情報マネジメント編集部主催イベント「第4回 ログ活用セミナー」が7月24日、東京コンファレンスセンターで開催された。
システムログは近年、コンプライアンスや情報セキュリティの観点から、注目を集めている。内部統制報告制度においては、監査人から問題を指摘された際、問題に至るプロセスをトレースして、その原因を明らかにする必要があるが、ログはその証拠として非常に重要な意味を持つ。一方、情報セキュリティ面では、個人情報などの情報漏えい対策として、ログの取得・分析が欠かせない。
しかし、そうしたログ取得の意義は理解していても、活用のポイントが分からないばかりに有効活用できていないケースが多い。そこで本セミナーでは、「内部統制のためのログ」と「セキュリティのためのログ」という2つの目的に焦点を当て、ログ取得・活用の要点を紹介した。
基調講演では、あらた監査法人代表社員の箱田順哉氏が「内部統制2年目の取り組みポイント」と題し、内部統制対応作業を効率化するヒントを紹介。厳しい経済状況に見舞われている昨今、内部統制に対して、多くの企業は1年目ほどのコストやリソースを割けない現実を受けて、「外部監査人と協議して評価範囲を見直し、Key Control数を絞る」ことや、「ログ管理、文書管理など、ツールの積極活用が作業効率化の大きなポイントになる」ことをアドバイスした。
 |
特別講演では、S&Jコンサルティング 代表取締役 チーフコンサルタントの三輪信雄氏が、「拡大を続けるログ砂漠〜砂漠化を食い止めるために明日からするべきこと」と題して、目的を持たないログ収集の無意味さを指摘。OSやアプリケーションなど、各種デバイスからのログをそれぞれ個別に監視するのではなく、あらゆるログを統合的に俯瞰(ふかん)・解釈して、慎重に問題を推測・発見するスタンスが重要であることを説いた。
当日、会場には200人を超す受講者が集まり、一時は“立ち見”も出るなど、ログ管理に対する高い関心がうかがえた。以下では、このほかの3つのセッションの概要を紹介する。
| イベントレポート インデックス |
 『効率的かつ効果的な統合ログ管理システムの導入・活用方法』‐ インフォサイエンス |
|
『終わりがないセキュリティ対策とともに成長し続ける統合ログ管理システムとは』 ‐ 三菱電機インフォメーションテクノロジー |
|
『ITコスト削減にも有効! ビジネスリスクを低減する統合ログ管理とは?〜某証券会社での個人情報漏えい事件から学ぶ対策手法〜』 ‐ RSAセキュリティ |
 |
インフォサイエンス 『効率的かつ効果的な 統合ログ管理システムの導入・活用方法』 |
 |
|
インフォサイエンス株式会社 プロダクト事業部 テクニカルコンサルティングチーム シニアコンサルタント 稲村 大介氏 |
インフォサイエンスのセッションでは、稲村大介氏が登壇し、実際に起こった情報漏えい事件を例に挙げ、あらゆる種類・形式のログを統合管理することの重要性を訴えた。
ある会社では、情報システム部員が会社の顧客データを持ち出し、名簿業者に転売した。犯行の過程を追うと、まず自分のIDでPCにログイン→過去に所属していた担当者のIDを使って、顧客情報システムにログイン→取得した顧客情報をファイルサーバに保管→本来、申請・承認が必要なルールを破り、オペレータに外部メディアへの保存を依頼、データを持ち出したという。
稲村氏はこうした過程を紹介し、「個別のログを見るだけでは問題を見抜けない」と指摘した。例えば、ファイルサーバのログは「ユーザーAがファイルAを作成」、顧客情報システムのログも、過去の担当者のIDが使われたとはいえ、「ユーザーB(過去の担当者)がPC01からログイン」「ユーザーBが顧客情報にアクセス」といったものに過ぎない。
「1つの1つのログを見る限り、特に不自然さは見受けられず、問題が見過ごされてしまう。問題を発見するためには、あらゆるログを統合的に管理し、関連するログ同士を突き合わせてチェックする必要がある」(稲村氏)。この事件の場合、申請システム上の過去の担当者の「ID削除申請」のログと顧客情報システムのログを“突合(とつごう)”させれば、ID削除申請が出ていた過去の担当者のIDが使われるはずはなく、不正操作を抽出できたはずだという。
「ログはただ漫然と取得するのではなく、点在するログを統合管理し、異なる場所・形式のログ同士をつなぐことで、真の効果が期待できる」──稲村氏はこのようにまとめ、ログの収集、理解、突合、保存を支援するという統合ログ管理システム「Logstorage」を紹介した。
Logstorageは、あらゆるログを検知・収集・保存する「Logstorage LogGate」と、保存したログの検索・集計・レポート作成を行うWebアプリケーション「Logstorage Console」という2つのコンポーネントで構成される。特徴は、Syslog、FTP、FTPS、File、SNMP、Agentなど、さまざまな種類のログ収集方法をサポートしていること。OSやデータベース、ネットワーク機器、各種アプリケーションなど、現在、日本国内で使われている200種以上のエンタープライズ関連製品のログ収集実績があるほか、クライアントログ管理ツール、DBログ管理ツールなど、他社製のログ管理ツールとも連携できるという。
このほか、ログのインデックスを生成することによる高速検索、ログに対する電子署名を生成することによる改ざん防止などを実現。あらかじめ定義したポリシーに合致するログを受信した際に、自動的にアラートを発信する検知機能も有している。ログの集計・分析レポートは、HTML、PDF、CSV、テキスト、XMLで定期自動発行でき、出力形式のカスタマイズも行えるという。
Logstorageのあらゆる活用例も紹介した。1つは作業申請内容と作業内容を“突合”させて、正当性を確認するパターン。具体的には、「作業者がワークフローシステムで作業を申請→申請内容のログと、作業によって発生した各種システムログを突合→そのレポートをLogstorageで出力し正当性を確認」といった具合だ。このほか、「権限外アクセス」「リムーバブルドライブの利用状況」など、不正行為につながりやすい操作ログの一覧を出力し、“事件の兆候”をつかむ例、さらにPC電源のオン/オフ/スタンバイのログからPCの消費電力、電気料金などを算出する“グリーンIT的な”活用法もあるという。
ただ、稲村氏は「統合ログ管理といっても、いきなり本格展開するのは難しい」と指摘。その点、Logstorageは、LogGateを増設するだけでシステムを拡張可能で、段階的に導入できることを挙げ、「まずはログ管理の目的を明確化し、小さいスケールから始めてみてはどうだろう。最初はERPとデータベース、次は業務サーバ、その後はネットワーク機器といった具合に、管理対象を徐々に拡大していくのは効率的だ」とアドバイスした。
|
さらに詳しい資料を、TechTargetジャパンでご覧いただけます。 効率的かつ効果的な統合ログ管理システムの導入・活用方法  |
関連リンク: インフォサイエンス
|
三菱電機インフォメーションテクノロジー 『終わりがないセキュリティ対策とともに成長し続ける 統合ログ管理システムとは』 |
 |
| 三菱電機インフォメーションテクノロジー株式会社 データセントリックソリューション 第二部 第二課 課長 藤村 隆氏 |
三菱電機インフォメーションテクノロジーのセッションでは、藤村隆氏が登壇し、日々、ぼう大な量の情報が生じている中で、ログ管理を通じて、いかに確実なセキュリティ体制を整備するかについて解説した。
まず、藤村氏は「企業がセキュリティ体制を整備するためには、OSや業務アプリケーションのアクセス/操作ログや、入退室管理システムの入退室ログなど、情報セキュリティと物理セキュリティ、両方にかかわるログを管理しなければならない。だが、1つ1つの管理対象ログを個別には管理していても、一元管理はできていない例が多い」と解説した。
その一因として、日時、ユーザー名、PC名など、ログにはさまざまな情報が含まれているが、ログによって含まれる情報が異なるほか、ログ自体の形式も異なることを指摘。そのため「ログの一元管理が難しく、分析レポート作成にも時間と手間がかかりがち」なのだという。
そこで同社では、統合ログ管理に求められる要件として、「大規模データ管理技術」「操作が容易なログ統合支援機能」「ユーザー指向のレポート作成機能」「さまざまなログへの対応力」の4つに整理。統合ログ管理ソリューション「LogAuditor」にこれらを集約した。
LogAuditorは、物理セキュリティから情報漏えい防止、内部統制管理、ネットワークセキュリティまで、コンプライアンス・セキュリティ対策のさまざまなニーズに対応する一連の製品群。その中核となる統合ログ管理製品「LogAuditor Enterprise」は、ログの種類・形式にかかわらず、ぼう大なデータ量の蓄積・高速ロードが可能なデータベース「LogAuditor/LDB」、種類・形式の異なるログを同一視点で参照可能とする「LogAuditor/PSF」、さまざまな切り口での迅速な分析を実現する「LogAuditor/AQL」の3つのコンポーネントで構成されている。
「LogAuditor/LDBは、データサイズを10分の1に圧縮して蓄積でき、テラバイト級のログデータを加工することなく、“ありのままの形式”で保存できる点が特徴。一方、LogAuditor/PSFは、保存したログの中から、分析に必要なログの情報項目のみを抽出して、文字コード変換、検索用情報の付加などを自動的に実行する。これらにより、“日付”“ユーザー名”など、ログに含まれる情報項目や、その形式が異なっても、任意の視点であらゆるログを横断分析し、フォーマットを統一して一覧表示することができる」(藤村氏)
OSやアプリケーションといった情報システムのログだけではなく、入退室管理システム、映像監視システムなど、物理セキュリティ装置のログも含めた一元管理、横断分析も可能だ。例えば、入退室管理システムのログと映像データ、PCの操作ログをひも付けてチェックすることができる。また、レポート作成・出力ツールには、使い慣れたユーザーが多いExcelのアドインツールを標準で用意。“質問に答える形で、必要な分析項目を選ぶ”ウィザード形式で任意のレポートを作ることができる。
一方、LogAuditorシリーズには、セキュリティ対策に特化した製品、「LogAuditor for CWAT」もある。インテリジェントウェイブが提供する情報セキュリティ対策ソフトウェア「CWAT」と組み合わせた製品で、CWATがPCの操作などを常時監視して大量のログを出力、それをLogAuditorで蓄積・分析することで、「誰が、何を、いつ、どのように情報操作したかを把握できる体制が整う」という。LogAuditorシリーズには、情報セキュリティマネジメントシステム(ISMS)の管理項目に対応した「ISMSテンプレート」も用意しており、組み合わせて導入すれば、監査をさらに効率化できるという。
ただ、藤村氏は、「一番大切なのはツールを導入することではなく、次のアクションにつなげること」と強調した。例えば、社内情報の持ち出し防止を狙う場合、深夜時間帯における「外部メディアへの書き込みログ一覧」と、その「ユーザーID一覧」をチェックする。また、ユーザーIDを軸にして、IDごとのログ一覧を調べる。そのうえで特定人物に不穏な兆候があれば、「深夜はアクセス禁止にする」といった具合に、確実に然るべき処置につなげる。
藤村氏は「本製品は単なる監視ツールではなく、セキュリティ体制を高度化させるためのツール。監視・分析・レポート機能を有効に生かしてPDCAをきちんと回し、継続的な改善を狙う姿勢が不可欠だ」とまとめた。
|
さらに詳しい資料を、TechTargetジャパンでご覧いただけます。 拡張性と柔軟性が実現する、「成長し続ける」統合ログ管理システム |
関連リンク: 三菱電機インフォメーションテクノロジー
|
RSAセキュリティ 『ITコスト削減にも有効! ビジネスリスクを低減する統合ログ管理とは? 〜某証券会社での個人情報漏えい事件から学ぶ対策手法〜』 |
 |
|
RSAセキュリティ株式会社 エンタープライズ営業本部 営業推進部 シニアマネージャー 轡田(くつわだ) 拓也氏 |
最後のセッションにはRSAセキュリティの轡田拓也氏が登壇し、セキュリティ基盤の強化とITコスト削減を両立する、効果的・効率的な統合ログ管理について解説した。
氏がまず強調したのは、ログ管理基盤とともに、認証基盤やアクセス管理基盤も連携して強化することの重要性だ。「本人確認の認証強化と、各ユーザーに割り当てられた権限に応じてアクセスを制御するアクセス管理──統合ログ管理という発見的統制は、これら2つによる予防的統制が確実になされているという前提があってこそ、真の効果が望める」と力説した。
同社ではこの考え方に基づき、認証製品「RSA SecurID」、アクセス管理「RSA Access Manager」、そして統合ログ管理アプライアンス製品の「RSA enVision」を、包括的なセキュリティ体制を実現する“三種の神器ソリューション”として、ワンセットで提案しているという。
そうした前提に基づいて、轡田氏は「RSA enVision」を紹介。クライアントPC、サーバ、ネットワーク機器、アプリケーションなど、ITシステム全体のログを収集・保存するログ管理機能と、法規制やガイドライン、内部ポリシーに対応した“コンプライアンスレポート”を生成する機能、ポリシーに反するログを検知した際、リアルタイムでアラートを発したり、セキュリティインシデントを分析したりするセキュリティ・オペレーション機能──以上、3つを提供するという。
「ハードウェアとソフトウェアを一体で提供するアプライアンス製品であり、統合ログ管理に必要な機能すべてをオール・イン・ワンで提供できることが特徴。ぼう大な量の生ログを70〜94%に高圧縮して効率的に保存・管理できることや、1100種類以上のレポートテンプレートを用意している点もポイントだ」(轡田氏)
アプライアンス製品であることはコスト削減にも有効だという。例えば、RSA enVisionにリプレースしたある製造業のユーザーの場合、ログ管理用サーバ、ログ保存用ストレージ、ログ収集・管理ソフト開発費など、既存システムの初期費用に約2150万円をかけていた。しかし、RSA enVision(ES-1060)の定価は990万円(ES-560は680万円)。システム構成がシンプルなため、運用・保守費用も従来比で年間約3115万円を削減でき、大幅なコスト削減につながったという。
加えて、このユーザー企業からは、「リアルタイムなセキュリティ監視の自動化や、管理者同士が連携しても難しかった相関分析処理が可能になった」など、「監視作業の効率・効果が向上した」という評価を獲得したという。轡田氏はその裏付けとして、コンプライアンス違反を早期に発見するための、RSA enVisionの活用例を紹介した。
1つは、複数の視点でログを分析、レポートを出力し、各レポートを横断的にチェックする方法。例えば、「特定のファイルにアクセスしたユーザー一覧」「特権ユーザーがアクセスしたファイル一覧」「特権ユーザーの(アクセスしたシステムを明確化する)アクティビティ履歴一覧」といった3つの分析データを定期的にチェックする。分析の視点が異なるレポートを一度にチェックすることで、問題の早期発見、確実な原因追究に寄与するという。
2つ目は、単体ではなく、複数のログ収集対象に、共通のしきい値(ポリシー違反条件)を設定し、違反があった際にアラートを発生させる方法。これにより、「複数のログ収集対象に横串をとおして監視できるほか、アラートが発生したらすぐに生ログをチェックできるため、いっそう効率的・確実なログ管理が行える」という。
以前、ある証券会社で、別の部署に異動した元同僚のIDを使って顧客データベースにアクセス、個人情報を持ち出して名簿業者に転売するという事件が発生した。これについても、「削除されているべきIDが利用されたらアラートを発生する」ルールや、「データベースへの業務時間外アクセスをレポート」する機能を組み合わせて監視していれば、削除されるべきIDが、どの端末から、いつどのように使われたか特定できたという。さらに、その端末で普段使われている IDを基にユーザーを絞り込み、厳しく調査・追及していれば、被害を最小限に抑えられた可能性が高いという。
轡田氏は「ビジネスリスクを低減するためには、ログ管理基盤とともに認証基盤、アクセス管理基盤を連携強化することと、セキュリティインシデントをリアルタイムに検知し、迅速に対応できる体制整備が大切。ただログをため続けるだけでなく、ツールを有効に使い、問題の早期発見・早期解決に役立つセキュリティ監視(動的対応)にも、ぜひ積極的に取り組んでほしい」とまとめた。
|
さらに詳しい資料を、TechTargetジャパンでご覧いただけます。 ITコスト削減にも有効! ビジネスリスクを低減する統合ログ管理とは? |
|
さらに詳しい資料を、TechTargetジャパンでご覧いただけます。 対投資効果からみた統合ログ管理 |
関連リンク: RSAセキュリティ
|
ホワイトペーパー ダウンロード
効率的かつ効果的な統合ログ管理システムの提供:
インフォサイエンス株式会社
三菱電機インフォメーションテクノロジー株式会社
RSAセキュリティ株式会社
マクニカネットワークス株式会社
企画:アイティメディア 営業企画
制作:@IT 情報マネジメント編集部
掲載内容有効期限:2009年9月18日
イベントレポート インデックス |
| 『効率的かつ効果的な統合ログ管理システムの導入・活用方法』 ‐ インフォサイエンス |
| 『終わりがないセキュリティ対策とともに成長し続ける統合ログ管理システムとは』 ‐ 三菱電機インフォメーションテクノロジー |
| 『ITコスト削減にも有効! ビジネスリスクを低減する統合ログ管理とは?』 ‐ RSAセキュリティ |
ホワイトペーパー ダウンロード | |
| |
| |
| |
|
効率的かつ効果的な統合ログ管理システムの導入・活用方法スポンサー |
 インフォサイエンス |
 三菱電機インフォメーションテクノロジー |
 RSAセキュリティ |
 マクニカネットワークス |
ITmediaはアイティメディア株式会社の登録商標です。
