健全なログ管理サービス提供を目指す

DBセキュリティコンソーシアムが統合ログWG発足

2009/12/14

　データベース・セキュリティ・コンソーシアム（DBSC）は12月10日、新たに「統合ログワーキンググループ（WG）」を設立した。セキュリティ製品やエンドポイント、データベースなどから得られるログを元に有用な情報を見つけ出すためには、どんな項目をどんな手順で収集すべきか、ひいてはそれを実現する統合ログ管理サービスとはどうあるべきかをまとめたガイドラインの作成に当たる。

　DBSCは、個人情報の格納先であるデータベースのセキュリティ向上を目的として、2005年に設立された業界団体だ。これまで、アクセス制限や暗号化など、具体的にどのような対策を取るべきかをまとめた「データベースセキュリティガイドライン」や、自社データベースのセキュリティレベルをWeb上で確認できる「データベースセキュリティ安全度セルフチェック」といった成果物をまとめ、公開してきた。

　新たに設けられた統合ログWGは、データベースを保有するエンドユーザーではなく、ログ管理サービスを提供する事業者向けのガイドライン作成を目的としている。PCやネットワーク／セキュリティ機器、アプリケーションサーバやデータベース本体など、複数のソースから得られるログを集約し、何をどうやって見つけていくかという手順やサービス内容、サービスレベルなどをまとめ、健全な「ログ管理サービス」提供につなげたい考え。

　同WGのリーダーを務める三輪信雄氏（S＆Jコンサルティング）は、「最近ようやく、ログを統合管理するためのシステムが出てきた。また、内部統制を背景にログを取るようになった企業も増えている。しかし、ログはただ保有しているだけでは意味がない。使ってはじめて意味あるものになる」と述べ、取得したログから予兆やインシデントの経緯を見つけ出すサービスの部分がまだ追い付いていないと指摘した。

　三輪氏が懸念しているのが、数年前に不正侵入検知サービスをめぐって起こった事態の再現だ。IDSは本来、導入する際にはさまざまなチューニングが必要なのに、その部分を飛ばして導入が進んだ結果、現場のエンジニアは苦労を強いられ、一方エンドユーザーは検知サービスに対する不信感を抱くことになった。「統合ログ管理で同じことを繰り返したくない」（三輪氏）。

　そこで、統合ログWGでは、どこでどのようなログを取得するのかという設計からシステム構築、運用や報告、保存方法といったサービス内容について定義し、事業者、ユーザーがともにサービス内容や付加価値を明確に把握できるようにしたいという。また、企業のセンシティブな情報に触れざるを得ない業務であることを踏まえ、サービス事業者や提供に当たる社員本人に関する情報開示やインシデントが見つかった際の法的対処といった部分にも踏み込んでガイドラインをまとめ、2010年6月に第1版を公開する計画だ。