誌上セミナー「拡大を続けるログ砂漠」：セキュリティ、そろそろ本音で語らないか（10）（3/3 ページ）

一朝一夕にはできないログ管理

　目的によってさまざまなログが必要であり、これらをいまから慌てて再構築するのは大変なことです。セキュリティはあるべき姿をいきなり実現しようとはせずに、まずはいまの状態から徐々に進めていくのが無理せず長続きできる方法です。

　また、目的をはっきりさせることも重要です。内部ネットワークからの情報漏えいには「悪意の故意」「熱意の故意」「過失」などがあり、それぞれに対して特有のログが必要です。これらは身近な人間が相手になるので、技術だけでなく、行動心理も反映したログシステムである必要があります。一方で、ボット対策やインターネットの公開サーバに関しては、高度なセキュリティ技術が必要です。

　ログを見る、というのは犯罪捜査のようなもので、さまざまな推測を働かせる刑事や科学捜査研究所のような専門家も必要です。これらの捜査に役立つログを日ごろから準備するわけですから、そもそものログの設計が必要となります。

　このログシステムの設計ができるエンジニア、あるいは、コンサルタントは日本にはまだほとんどいないといっていいでしょう。統合ログシステムはなんでもやってくれる「魔法の箱」に思われるかもしれません。ログを集めて分析する優秀なツールですが、そもそものセンサーとなる個々のパソコンやサーバ、セキュリティ機器が必要なログを送り出してくれないことには、分析のしようがありません。

　統合ログ製品は欧米では広く使われていますが、日本ではまだまだ一般的とはいえません。欧米で売れているセキュリティ製品で、日本で売れていない典型的な例の1つでしょう。これは使いこなしに相当な技術力が求められるからです。欧米にはそうしたセキュリティ専門家が社内にいて活躍しており、彼らに役立つ道具として統合ログ管理システムが活用されているのですが、日本の企業にはそうしたセキュリティ専門家がいることはまれであり、多くの場合SI業者に丸投げしているのです。

　ログを適切に設定して収集し分析するという、情報セキュリティにおいては当たり前の日常的な行為が、日本では一般的には行われていない現状があります。これを乗り越えて、ログを活用して情報セキュリティのレベルを「守るだけ≒守っていることにしておく」から、事後対応にまでレベルアップさせるためには、ログの専門家の登場が待たれます。

来たれ、将来の「ログ専門家」

　ここでいうログの専門家とは、少なくとも以下のような能力が期待されます。

• 目的に応じたログシステムの設計ができる
• ログの分析ができる
• 刻々と変わる状況に応じてログの設定やシステムの変更を提案、実行できる

　このようなログシステムの設計や運用ができるということは、すなわち、セキュリティシステムそのものが把握できる、ということでもあるのでいかに高度な人材であるか分かるでしょう。

　これらの人材を各企業で雇用することは現実的ではありません。SI事業者あるいは専門のコンサルタントなどがサービスとして提供するスタイルが日本では適合すると考えています。

　またログは事後対応だけでなく、情報セキュリティ事故の予兆をつかむこともできます。しかし、これは事後対応の準備ができてからのレベルアップとしてチャレンジすべき分野ですが、これこそがログが活躍する最大の分野なのです。「攻撃が来たら防ぐ」という従来のセキュリティ対策を「事件が起きる前に事前に察知してしかるべき手を打つ」レベルに持ち上げることが最大のコスト削減にもなるでしょう。

　最後になりますが、黙々とログを集めて管理する仕事を続けることは大変な忍耐力と使命感が必要です。そのため、モチベーションの維持が大きな課題となります。そこで、私が顧客に推奨しているのが「防災訓練」です。

　日ごろ集めているログを活用して、どれくらい役に立つのかを実際に検証する作業も含めて、1年に1、2回、情報セキュリティ事件が起きたというシナリオで大々的に訓練を行うのです。これらの報告書を役員会に提出することにより、経営層のセキュリティへの関心も高まる効果もあります。

　以上、過日のセミナーの内容を誌上にて再現させていただきました。ぜひ、皆さまも「正しいログ管理」について考えてみてください。

「セキュリティ、そろそろ本音で語らないか」連載目次