ログはどうしたら使い物になるのか。 ログを活用するための考え方とは？ ～「宝の山」を「ゴミの山」に変えないために～

Infoscience Corporation

クラウド時代の最新ログ管理・監視手法

～オンプレミス、クラウドに分散するシステムをどう可視化するか～

2016年2月2日

インフォサイエンス株式会社

プロダクト事業部

Contents

1. ログ管理の目的

2. 内部漏洩対策で求められるログの統合管理

／統合ログ管理システム「Logstorage」

3. 外部脅威対策のためのログ管理

4. クラウドサービス上のログ管理

インフォサイエンス株式会社 概要

設立

1995年10月

代表者

宮 紀雄

事業内容

•パッケージソフトウェアの開発

•データセンタ運営

•受託システム開発サービス

•包括システム運用サービス

所在地

東京都港区芝浦2丁目4番1号 インフォサイエンスビル

＜開発から運用までの業務フェーズ概要＞

システム運用から生まれたパッケージソフトウェア

ログ管理の目的

個人情報保護法

プライバシーマーク

ISO27001/ISMS

経産省/クラウドセキュリティガイドライン

PCI DSS

様々なルールや脅威への対応のために、ログの管理が行われている

金融商品取引法

不正アクセス禁止法

4

マイナンバー/番号法

サイバーセキュリティ基本法

不正抑止

予兆検知

事後調査

情報セキュリティに於けるログ管理 3つの目的

APT/標的型攻撃

個人情報・機密情報漏えい（内部犯行）

オンプレミス／クラウドに関わらず、「ログ」の管理・

モニタリングは、情報セキュリティの

中心的な対策

！

情報セキュリティに対する脅威

1位 オンラインバンキングやクレジットカード情報の不正利用

2位

内部不正による情報漏えい

（昨年11位）

3位

標的型攻撃による諜報活動

（昨年1位)

4位 ウェブサービスへの不正ログイン

5位 ウェブサービスからの顧客情報の窃取

6位 ハッカー集団によるサイバーテロ

7位 ウェブサイトの改ざん

8位 インターネット基盤技術の悪用

9位 脆弱性公表に伴う攻撃の発生

10位 悪意のあるスマートフォンアプリ

「情報セキュリティ 10大脅威 2015」/ IPA (2015.2.6)

URL: https://www.ipa.go.jp/security/vuln/10threats2015.html

ログ管理で考えるポイント

専用線

/VPN

内部漏洩・監査対策

(PC, Server,

Storage

, Network …)

内部漏洩・監査対策

(仮想OS, 仮想ネットワーク, サービス…)

ログ管理対象・モニタリング範囲は広がっている

クラウド

オンプレミス

外部脅威対策

(異常・予兆検知)

Attack

Attack

内部漏洩対策で求められるログの統合管理／

ログの統合管理

業務システム

運用担当者PC

ログを可視化・モニタリングするための仕掛け

_{統合ログ管理システム}

高圧縮保管

改ざん検出

自動レポート出力

横串・横断検索

アクセス制限

ログ分析・グラフ化

リアルタイムアラート

統合管理されたログ

ログ

人事・経理担当PC

入退室管理

ファイルサーバ

データベース

統合ログ管理システムによるアクセス監査

企業内・クラウド上に点在するログデータを一元管理し、モニタリングする事で不正に対する

抑止効果

を発揮すると共に、

情報システムが適切に扱われていることを証明する

。

クラウド

統合ログ管理システム「Logstorage」

「Logstorage」とは

9年連続市場シェアNo.1

1,900社への導入実績

Logstorage

46.8%

あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理システムです。内

部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視、業務効率改善など、多様な目的に対応

できる、統合ログ分野でのデファクトスタンダード製品です。

統合ログ管理システム「Logstorage」の機能

ログ収集機能

[受信機能]

・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]

・Agent

・EventLogCollector

・SecureBatchTransfer

ログ保管機能

ログ検知機能

検索・集計・レポート機能

・ポリシーに合致したログのアラート

・ポリシーはストーリー的に定義可能(シナリオ検知)

・ログの圧縮保存／高速検索

・ログの改ざんチェック機能

・ログに対する意味（タグ）付け

・ログの暗号化保存

・保存期間を経過したログを自動アーカイブ

・ログの保存領域管理機能

・ログの検索／集計／レポート生成

・検索結果に対する、クリック操作による絞込み

・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)

・レポートの出力形式のカスタマイズ

<Logstorage システム構成>

ログ収集実績

［OSシステム・イベント］

・Windows

・Solaris

・AIX

・HP-UX

・Linux

・BSD

［Web/プロキシ］

・Apache

・IIS

・BlueCoat

・i-FILTER

・squid

・WebSense

・WebSphere

・WebLogic

・Apache Tomcat

・Cosminexus

［ネットワーク機器］

・Cisco PIX/ASA

・Cisco Catalyst

・NetScreen/SSG

・PaloAlto PA

・VPN-1

・Firewall-1

・Check Point IP

・SSL-VPN

・FortiGate

・NOKIA IP

・Alteon

・SonicWall

・FortiGate

・BIG-IP

・IronPort

・ServerIron

・Proventia

［クライアント操作］

・LanScope Cat

・InfoTrace

・CWAT

・MylogStar

・IVEX Logger

・MaLion3

・秘文

・SeP

・QND/QOH

［データベース］

・Oracle

・SQLServer

・DB2

・PostgreSQL

・MySQL

［サーバアクセス］

・ALogコンバータ

・VISUACT

・File Server Audit

・CA Access Control

［データベース監査ツール］

・PISO

・Chakra

・SecureSphere DMG/DSG

・SSDB監査

・AUDIT MASTER

・IPLocks

・Guardium

［メール］

・MS Exchange

・sendmail

・Postfix

・qmail

・Exim

［ICカード認証］

・SmartOn

・ARCACLAVIS Revo

［その他］

・VMware vCenter

・SAP R/3 (ERP)

・NetApp (Storage)

・EMC (Storage)

・ex-SG (入退室管理)

・MSIESER

・iSecurity

・Desk Net’s

・HP NonStop Server

…その他

［運用監視］

・Nagios

・JP1

・Systemwalker

・OpenView

［アンチウィルス］

・Symantec AntiVirus

・TrendMicro InterScan

・McAfee VirusScan

・HDE Anti Vuris

［Lotus Domino］

・Lotus Domino

・Notes AccessAnalyzer2

・Auge AccessWatcher

［複合機］

・imageRunner

・Apeos

・SecurePrint!

日本国内で利用されているものを中心に

250種類以上

のログ収集実績

【Logstorage アライアンス製品（連携パック）】

Palo Alto Networks next-generation firewalls

SKYSEA Client View

SecureCube / AccessCheck

LanScope Cat

Amazon Web Service

CWAT

Sendmail

InfoTrace

Auge AccessWatcher

MylogStar

PISO

i-FILTER

IVEX Logger シリーズ

SecurePrint!

MaLion

Chakra Max

VISUACT

SSDB監査

File Server Audit

AUDIT MASTER

監査れポータル

検索機能

・ログの高速検索

・ログの追跡機能

-クリック操作によるログの絞込み

-検索結果画面のカスタマイズ機能

・検索条件設定・保存機能

- パターン化された検索条件を定型化

・特定のログをハイライトして表示

ログの検索・追跡

＜検索条件設定画面＞

追跡したいユーザを

クリック操作で絞り込み

＜ログの追跡例＞

クリック

集計機能

• 集計項目を指定し、自由なログ分析が可能

• 集計結果のトップ10 の出力や、閾値を設定した出力などが可能

• 集計結果を表形式またはグラフ形式（折れ線／棒／円／2軸）により可視化

• 集計条件を保管して作業を定型化、集計結果のCSVダウンロードが可能

ログの分析

＜集計条件設定画面＞

＜集計結果例＞

レポート機能

• 1時間/1日/1週間/1か月毎の定期レポート出力可能

• PDF/HTML/CSV/XML等のフォーマットで出力可能

• 生成されたレポートを自動的にメールに添付して送信可能

自動レポート出力

＜レポート出力設定画面＞

＜レポート例＞

内部漏洩 ログ管理の現実解

4

・「守るべき情報」がどこにあるのかを事前に把握する。

・有事の際の事後調査のために、「守るべき情報」へのアクセスログは全て取っておく。

・日々、全てのログをモニタリングするのは不可能。データを持ち出すのは、権限を持っているユーザ。

モニタリング対象を、権限を持つユーザに絞る。

・システム担当とモニタリング（セキュリティ）担当は分ける。

・一発アウトのログだけではなく、業務上発生し得ても漏洩リスクのあるログも捕捉する。

・ログを捕捉したら当該社員に確認を取るなどして「抑止」を図る。

ログモニタリングの対象を絞り、「抑止」に重点を置く

ログモニタリングは性悪説に立った社員の監視？

・個人情報や企業の機密情報など、社内にはカネになりそうなデータが溢れている。

・抑止により「魔が差す」「ばれないと思われる」状況を無くす。

・社員の潔白を証明することにもなる。

「予兆」を見つけ、「抑止」を効かせるログ管理

アクセス件数の閾値設定

- データベースからの取得行数のチェック

- 個人情報が含まれるファイルに対するアクセスを、個人情報件数でチェック

外部への情報持ち出し

- USB接続ログのチェック

- 添付ファイル付きメール送信ログのチェック

- 外部アップロードログのチェック

申請データとログの突き合わせ

- 申請外のアクセスが無いかチェック

相関

チェック

アクセス権を持つ者に対するログのモニタリング例

ログの自動チェック

ルール設定

チェックNGユーザ

に対するヒアリング

ルール改善

NG

このフローを仕組みとして作る

ストレージのログ管理を行う上でのポイント

・ストレージ上には「守るべき情報」が確実に置かれ

ており、最も重要なログモニタリング対象の１つ。

・ストレージ上のファイルにアクセスした際に記録される「イベントログ」は

モニタリングに使えない

ケースがあるので注意。

・セキュリティの観点だけでなく、ストレージの状態監視の観点でもログ管理

は有効。

ストレージへのアクセスログ活用のポイント・注意点

ファイルサーバ・ストレージへのアクセスログの取得は

ログ管理の最初の一歩

Logstorage ELC の機能／ログ解析

ログオン・ログオフ

ストレージへのログオン／ログオン失敗／ログオフ

ファイルアクセス

ストレージ上のファイルの読み込み／書き込み／削除／名前変更など

管理者操作

ストレージ上での管理者操作

NetAppストレージの監査ログは、Windowsのイベ

ントログ形式で出力されるが、イベントログは極め

て内容が複雑で難解・・・

【解析対象】

< ELC ログ解析・変換機能>

ELCで解析・変換して取り込む事で、「ユーザが行

った操作」がログから理解出来るように！

- いつもと違う端末からログインしてきているのは誰か?

- 重要ファイルを削除したのは誰か?

- 管理者操作がどの端末から行われているのか?

難解なイベントログを解析・変換

Logstorage ELC の機能／ステータスレポート

- アグリゲート、ボリューム毎の使用容量

- クオータ毎の使用容量

- NASのCPU/メモリ/ネットワーク/ディスクIOの状況

・アグリゲート上の容量のボリュームへの割り当ては適切か？

・ストレージの無駄な使用実態は無いか?

・いつ頃ストレージの拡張が必要になるのか?

アグリゲート

(ストレージプール)

ボリューム

200GB

使用率:50%

ボリューム

300GB

使用率:90%

ボリューム

500GB

使用率:25%

ボリューム

550GB

使用率:95%

ボリューム

250GB

使用率:50%

一部開放

追加確保

ストレージの利用状況の把握

ストレージの利用状況を把握し、ストレージ全体の利用効率を向上させる

外部脅威対策のためのログ管理

「統合ログ管理」と「SIEM」

SIEM (Security Information & Event Management)

統合ログ管理（監査）

SIEM（SOC）

… SIEMと言えばリアルタイムのセキュリティイベント検知を主眼にしたツールを指し、統合ログ管理ツー

ルとは別ジャンルとされることが多い。ログの蓄積と分析に重きを置くのが統合ログ管理ツール（現在は国

産製品が中心に導入が進んでいる）であり、標的型攻撃など新しい脅威への対策に有効だが長期にわたる時

間軸での分析には向かないのが、現在海外製品を中心に注目されているSIEMツールと考えればよいだろう。

“監査” と “SOC” で求められる機能の違い

統合ログ管理製品

（あらゆるログを統合管理）

_{（目的のログを監視・アラート）}

SIEM製品

○

ログの圧縮（長期保管）

○

ログの暗号化・改ざん検出

○

定期レポート

○

ログの検索・追跡

▲

リアルタイムアラート

×

相関分析

▲

脅威データ連携

○

リアルタイム分析

○

相関分析

○

脅威データ連携

×

ログの圧縮（長期保管）

▲

ログの暗号化・改ざん検出

▲

定期レポート

○

ログの検索・追跡

同じく「ログ」を扱う製品だが、求められる機能が異なる。

“

監査

” と “

SOC

” を単一のソリューションで解決できるのか?

SOC

監査

トレードオフ

統合ログ管理システムとSIEMの連携

内部脅威対策／監査

・ログ圧縮(長期保管)

・暗号化／改ざん検出

・ログ検索／定期分析

・レポーティング

外部脅威対策

・リアルタイム分析

・ダッシュボード（状況認識）

・相関ルールによるアラート

・ログの検索

統合ログ管理

SIEM

ログ収集対象

統合ログ管理環境

分析に必要な

ログのみ自動転送

SIEM環境

LogDB

リアルタイムモニタ

監査

アラート

統合ログ管理システム + SIEM

Logstorage-X / SIEM

Logstorage-X / SIEM

2016年2月 正式リリース予定!!

クラウド上のシステムに対するセキュリティの考え方

AWSの「共有責任モデル」

・OS

・アプリケーション

・セキュリティグループ

・OSファイアウォール

・ネットワーク設定

・アカウント管理

・ファシリティ

・物理セキュリティ

・物理インフラ

・ネットワークインフラ

・仮想インフラ

ユーザの責任で守る

AWS側の責任と、ユーザ側の責任の分界点を理解することが重要

オンプレミス環境のログ管理との違い

・管理コンソールへのアクセスログ

・サービスの生成/起動/停止/削除ログ

・ユーザ管理ログ

・セキュリティポリシー変更ログ

・利用料金ログ

クラウドサービス(AWS/Azureなど)

管理

コンソール

仮想サーバ

・サービス

仮想サーバ

・サービス

仮想サーバ

・サービス

管理アクセス

HTTPS

ユーザの作成・

権限変更

サービスの

生成/起動/停止/削除

利用料金の管理

仮想Firewall

ルール・ポリシー

の設定

ユーザ管理

アラート管理

ユーザ側

管理者

クラウドサービス利用ログの監査

管理コンソール

へのログイン

仮想サーバやサービス上のログだけでなく、

サービスに対する管理アクセス

のログ管理も必要

クラウドサービス上のログ取得

・AWS CloudTrail / CloudWatch Logsなど

・Microsoft Azure 管理ポータルの操作ログ

クラウド上のログ分析における課題

・クラウド環境のログをどのように取得するか。

・クラウド環境のログをどのように可視化するか。

・クラウド環境のログをどのような観点で見るか。

・クラウドサービスのリリーススピードにどのように追随するか。

・オンプレミス環境とクラウド環境のログをどのように統合するか。

クラウド環境上のログ管理システムのニーズが高まっている

クラウド上のログ管理における課題

例）Amazon Web Service

AWS上の取得すべきログ

VPC subnet

Network ACL

Security Group

EC2

RDS

ELB

・・・

Management

Console

AWSサービスに対するアクセスログを記録

AWS CloudTrail

AWS CLI

AWS SDK

Applications

AWS Config

AWSサービスの構成変更ログを記録

AWS CloudWatch Logs

EC2インスタンス内のアクセスログを記録

AWS CloudWatch Logs (VPC Flow Logs)

Network ACL / Security Group の通信ログを記録

例）AWS利用グループ,ユーザの作成/削除/権限変更

EC2インスタンスの作成/停止/削除

AWS管理画面(Management Console)へのログイン

例）EC2インスタンスタイプの変更

AIMロールの変更

例）Windowsイベントログ

Linux syslog (/var/log/ 配下のログ等)

その他、テキストログ

・Network Interface単位でのACCEPT/REJECTログ

『Logstorage for AWS』により、

AWS上に点在するログデータを

例）Microsoft Azure

Azure上の取得すべきログ

仮想マシン

Storage

Azure

管理ポータル

Azure CLI

Azure SDK

Applications

2016年3月リリース予定

『Logstorage for Azure』にて対応

DB

Load Balancer

Audit Logs

≒ (AWS CloudTrail)

Azureポータル上での操作ログを記録

例）Azureポータルへのログイン

各種サービスの作成/停止/削除

ユーザアカウントの作成/変更/削除

仮想マシン内のイベントログ／メトリクス情報を記録

Operational Insights

≒ (AWS CloudWatch Los)

例）Windowsイベントログ

Linux syslog

Windows / Linux のパフォーマンスログ

Diagnostics

例）ストレージへのアクセスログ

ストレージの利用状況ログ

SQL Serverへのアクセスログ

ストレージ等のサービスのログを記録

Application Insights

例）Application Insights に対応したアプリケーションログ

Application Insightsに対応したアプリケーションログを記録

Active Directory

Azure Virtual Network

Logstorage for AWS

収集・解析

保管

・ログの圧縮／暗号化保存機能

・ログの改ざんチェック機能

・ログに対する自動タグ付け機能

・ログの自動アーカイブ機能

検索・分析

・ログの検索／集計／レポート機能

・検索結果からクリック操作による絞込み機能

・あらゆる種類のログの横断検索／分析機能

・レポートの定期自動出力機能

・AWSログ分析用分析テンプレート

・AWSの各サービスからのログ自動収集機能

・JSON形式のログの解析／変換機能

Logstorage for AWSは、AWS上で生成されるあらゆるログデータを「収集・解析」「保管」「検索・分析」「

レポート」するための、統合ログ管理ツールです。 AWS上のリソースのライフサイクルの管理、コンプライア

ンス準拠、セキュリティ分析、運用上のトラブルシューティングなど、幅広く活用することができます。

Logstorage for AWS 監査レポート

構成スナップショットレポートサンプル（開発中）

Amazon S3 へのログバックアップ対応

ログデータ保管のコスト削減

Amazon S3

Amazon Glacier

1GB/約4円

1GB/約1.3円

自動

アーカイブ

LogDB

アーカイブ機能拡張(S3対応)

運用例

・LogDB上に1年間保存

⇒ 1年以上3年未満のログはS3上に保存

⇒ 3年以上前のログはGlacier上に保存

ログ保管ストレージの

コストを大幅にカット

Amazon EBS

1GB/約10円

Cloud ONTAP 対応

Amazon EC2上で稼働する『Cloud ONTAP』

NetApp の clustered data ONTAP を基盤にした、パブリッククラウド上に導入可能なソフトウェア型

ストレージアプライアンス。

NetApp Storage

Amazon EBS

SnapMirror

データレプリケーション

オンプレミス環境

アクセスログ

の統合管理

ストレージ利用

_{状況の把握}

[事例] オンプレミス + クラウド環境 ログ統合事例

Console

LogGate

運用担当者

操作端末

Gateway

Manager

LogGate

VPN

connection

お客様 データセンター

お客様サーバ

（運用監視対象サーバ）

監査担当者

操作端末

・データセンター内のサーバ、及びAWS上のEC2インスタンスに対するメンテナンスは、

全てAccessCheck上での申請・承認を経て、AccessCheckのゲートウェイ経由でアク

セスする。

⇒ 承認が無いアクセスは許可しない

・データセンターのサーバ、ネットワーク機器、AccessCheck、及びAWS上のEC2イン

スタンスのログをLogstorageに収集・統合管理し、日次で監査。

⇒ AccessCheckゲートウェイを経由しない、違反アクセスなども監査

・データセンター内のログと、AWS上のログを統合管理し、1つのLogstorage コンソール

にて透過的にログを監査する。

⇒ ハイブリッド環境においても、ログの監査を容易に

ハイブリッド環境でのアクセス管理・ログ管理

お客様(DC事業者様)が提供する「包括的システム運用サービス」。 SecureCube AccessCheck + Logstorageを導入する事で、DC事業者様が自社データセンター内で

預かるお客様サーバ、及びAWS上のEC2インスタンス等の運用をより安全に、セキュアに行うことで、各種コンプライアンス要求に対応

Firewall

あらゆる場所にある、あらゆるログを統合管理

Azure

オンプレミス

Azure

AWS

ストレージ

その他のクラウド

・SoftLayer

・vCloud Air

・Google Cloud Platform

Logstorage-X / SIEM

内部脅威対策／監査

あらゆるログを統合管理

各種資料・お問い合わせ先

Logstorage Webサイト

試用版のお申込み

http://www.logstorage.com/trial/

インフォサイエンス株式会社

プロダクト事業部

TEL 03-5427-3503 FAX 03-5427-3889

mail : info@logstorage.com

Logstorage に関するお問い合わせ

Logstorage for AWS

http://www.logstorage.com/aws/

・LogstorageによるPCI DSS要件10への対応例

・Logstorageによる制御システムセキュリティ対策

・標的型メール攻撃 分析・監視例

・突合レポートテンプレート

・マイナンバー対策で求められる 現実的なログ管理

・ストレージのアクセス監査から始める統合ログ管理

・統合ログ管理によるIT統制の実現とその具体的事例

… その他、ログ活用の参考資料・情報を公開中！

ログ管理資料

http://www.logstorage.com/product/product_materials.html

http://www.logstorage.com/seminar/materials.html

Logstorage ELC

http://www.logstorage.com/elca/

Logstorage

http://www.logstorage.com/

END

「クラウド時代の最新ログ管理・監視手法」

～オンプレミス、クラウドに分散するシステムをどう可視化するか～

2016/2/2

インフォサイエンス株式会社 プロダクト事業部

稲村 大介