ｽﾗｲﾄﾞ ﾀｲﾄﾙなし

Infoscience Corporation

www.infoscience.co.jp [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889

2010年3月10日

インフォサイエンス株式会社 プロダクト事業部

結局、ログはどう使われているのか？

～ 目指すべきログ管理の姿とは ～

Contents

1．統合ログ管理システム導入の背景と活用できていない理由

2．統合ログ管理システムの活用例

3. 統合ログ管理システム「Logstorage」

4. まとめ

5. [参考] 統合ログ管理によるガンブラー対策

インフォサイエンス株式会社 概要

設立

1995年10月

代表者

宮 紀雄

事業内容

•パッケージソフトウェアの開発

•データセンタ運営

•受託システム開発サービス

•包括システム運用サービス

所在地

東京都港区芝浦

2丁目4番1号 インフォサイエンスビル

＜開発から運用までの業務フェーズ概要＞

運用の現場から生まれたパッケージソフトウェア

運用の現場から生まれたパッケージソフトウェア

インフォサイエンスとログ管理の歩み

ITシステム運用管理

ITシステム運用管理

情報セキュリティ

情報セキュリティ

内部統制

内部統制

Ver.1

(2002年2月)

Ver.2

(2003年9月)

Ver.3

(2006年11月)

情報漏えい事件の多発

個人情報保護法施行

日本版

SOX法施行

ログ管理に対するニーズが

様々な法的・社会的な要請

により拡大している

ファーストリリース

大量データ対応

（ＤＢレス化の実現）

検索・分析の高速化

レポート機能強化

PCIDSS

・・・

Ver.4.0

(

近日リリース予定

)

社内コンプライアンスへの意識の高まり

・ログの高圧縮機能

・ログの超高速検索機能

・イベントログのエージェントレス収集機能

統合ログ管理システム導入の背景と

活用できていない理由

ログ管理を取り巻く状況

PCクライアント

PCクライアント

各種サーバ・機器

各種サーバ・機器

ネットワーク機器

ネットワーク機器

ログ送信

ログ送信

ログ送

信

ログ送

信

ログ

送

信

ログ

送

信

ログ

_送

信

ログ

_送

信

アプライアンスサーバ

アプライアンスサーバ

複合機

複合機

入退出管理

入退出管理

ファイルサーバ

ファイルサーバ

ロギングツール

ロギングツール

DBサーバ

DBサーバ

ロギングツール

ロギングツール

ロギングツール

_{ロギングツール}

UNIXサーバ

UNIXサーバ

Web/Proxyサーバ

_{Web/Proxyサーバ}

ロギングツール

ロギングツール

統合ログ管理システム

統合ログ管理システム

ログ

送信

ログ

送信

統合ログ管理システムの導入目的

ログデータの一元化

管理コンソールの一元化

ログの保護（原本証明/暗号化/バックアップ）の一元化

ログの長期保存

ログ形式（フォーマット）の吸収

ログに対するアクセス権限の一元化

ログの安全保管・管理の効率化

ログの安全保管・管理の効率化

IT

IT

システム上での活動内容の可視化

システム上での活動内容の可視化

ログの可読性の向上

ログの追跡・分析・アラート

モニタリングの自動化（レポート自動出力）

統合ログ管理システムが活用

出来ていないとされるポイント

内部統制

情報漏洩対策

Pマーク

ISMS

PCI DSS

出力されるレポートを見ても何が起きてるかわからない

収集した大量なログを、どう見れば良いかわからない

ログが追跡できない

(ユーザ名,IPアドレス,ファイル名…)

見たいログ／重要なログが他の不要なログに埋もれている

よく聞く、活用できない理由

ログ追跡に利用するキー項目が、異なるログ間で統一されていない

レポートの出力結果から、不正や誤りを把握できない

閲覧可能な形でログを収集／保管出来ていない

レポートの出力結果が大量すぎて見切れない

<記録されるログ>

http://www.infoscience.co.jp/image/btn_logstorage.gif

75

… （中略）

http://www.infoscience.co.jp/image/btn_spamghetti.gif

76

5

http://www.infoscience.co.jp/image/top.swf

4

http://www.infoscience.co.jp/Scripts/swfTagWriter.js

3

http://www.infoscience.co.jp/infoscience.css

2

http://www.infoscience.co.jp/

1

1アクセスで、75行ものログが記録される。

これを統合ログ管理システムにそのまま取り

込んでいる

!!

<インフォサイエンス コーポレートサイト TOPページ>

問題点

1: そのまま取られているログ

Web Proxy

Web Proxy

アクセスログの例

アクセスログの例

_{アクセスすると・・・}

???

ユーザ

IDをキーに検索しようとしても・・・

…

…

40001

Server A

2010-03-10 09:13:28

…

root

Server B

2010-03-10 09:13:23

…

domain1¥administrator

Server D

2010-03-10 09:13:16

…

yamada

Server C

2010-03-10 09:13:02

50001

ユーザID

Server A

デバイス

…

2010-03-10 09:12:24

ログメッセージ

時刻

問題点

2: 追跡できないログ

追跡できないログ

追跡できないログ

<ログ保管のイメージ>

サーバや機器によって記録されるユーザ

IDがバラバラで追跡出来ない

???

単なるログのフィルタリングレポートになっている

問題点

3: 無意味なレポート

ログの分析レポート

ログの分析レポート

?

?

レポートテンプレートを利用して出力してみても・・・

???

レポートを見ても、何が起こっているかわからない!!

つまり

...

・明らかに無駄なログも含めて大量に収集され、

・ログを追跡するためのキー項目も統一されず、

・意味の無いレポートを出力し続けている

統合ログ管理システムが活用されていないとされる主なポイントは

…

統合ログ管理システム基盤が正しく構築されていないという事

統合ログ管理システム基盤が正しく構築されていないという事

ログレビューのポリシーが事前にあるに越したことは無いが、

ログレビューのポリシーが事前にあるに越したことは無いが、

ログ管理の目的

/ログレビューのポリシーが明確になっていないから…?

統合ログ管理システムの活用例

-Point① 収集ログのフィルタ

http://www.infoscience.co.jp/image/btn_logstorage.gif

75

… （中略）

http://www.infoscience.co.jp/favicon.ico

6

http://www.infoscience.co.jp/image/back_left.gif

7

http://www.infoscience.co.jp/image/btn_spamghetti.gif

76

http://www.infoscience.co.jp/image/rec_banner.swf

5

http://www.infoscience.co.jp/image/top.swf

4

http://www.infoscience.co.jp/Scripts/swfTagWriter.js

3

http://www.infoscience.co.jp/infoscience.css

2

http://www.infoscience.co.jp/

1

<フィルタ前のProxyログ>

収集ログのフィルタ

収集ログのフィルタ

<フィルタ後のProxyログ>

Proxy用

フィルタ

ログ

ログ

Web Proxyサーバ

Web Proxyサーバ

イベントログ用

フィルタ

イベントログ用

フィルタ

イベントログ用

フィルタ

ログの追跡性

ログの追跡性

(

(

ユーザ

ユーザ

ID

ID

での追跡例

での追跡例

)

)

Point② ログの追跡性の確保 [1/2]

いつ

?

Point② ログの追跡性の確保 [2/2]

…

yamada

00010

入退出管理

yamada

50001

サーバＡ

yamada

B0001

ネットワーク機器Ｂ

yamada

A0001

ネットワーク機器Ａ

共通ID

ID

サーバ・機器名

共通

IDマスタ (DB, CSV等)

共通ＩＤ付与

フィルタ

ログ収集対象サーバ・機器

ログ

① ロ

グ送

信

② 共通ＩＤ

_取得

2008/6/15 08:56, 192.168.0.1,

A0001

, login success…..,

yamada

共通ＩＤを付与したログ

2008/6/15 08:56,192.168.0.2,

B0001

, shutdown…..,

yamada

③ 共

通ＩＤ

付与

/ロ

グ保

存

共通ＩＤを付与し、ログ追跡時の

キーとして利用する

共通

共通

ID

ID

付与の実現方法

付与の実現方法

Point③ 意味のあるレポート

意味のあるレポートとは何か

某社情報漏洩事件の例

PC認証ログ

システムの

アクセスログ

ファイルサーバ

アクセスログ

PC操作ログ

ログ ログ ログ ログ

ログは記録されていたのに、

自身の

IDでPCにログイン

自身の

IDでPCにログイン

顧客情報検索システムに過去に所属していた

担当者の

IDでログイン、顧客情報を取得

顧客情報検索システムに

過去に所属していた

担当者の

IDでログイン

、顧客情報を取得

取得した顧客情報をファイルサーバに保管

取得した顧客情報をファイルサーバに保管

外部媒体

(CD)への保存をオペレータに依頼

（申請・承認無し）

外部媒体

(CD)への保存をオペレータに依頼

（

申請・承認無し

）

不十分なモニタリング

?

「

2009/7/24 09:00

ユーザ

AがPC01にログイン

」

ログ

顧客情報システム

ログ

ファイルサーバ

ログ

PC

ログ

申請システム

ログ

「

2009/7/24 10:00

ユーザ

BがPC01からログイン

」

「

2009/7/24 10:05

ユーザ

Bが顧客情報にアクセス

」

「

2009/7/24 10:10

ユーザ

AがファイルAを作成

」

「

2009/7/24 11:00

ユーザ

CがファイルAをCDに書込み

」

PC

「

2009/3/31 14:00

アカウント

(ユーザB)の削除申請

」

（

2009/7/24 11:00

に行われた

CD書込の申請は無し）

行為者

行為者

(ユーザA)

オペレータ

オペレータ

(

(

ユーザ

ユーザ

C)

C)

① ユーザ

Bとして

顧客情報にアクセス

② 取得した顧客情報を

サーバにコピー

④ サーバ上の顧客

情報を

CDにコピー

⑤

CDを行為者に渡す

③

CD書込み

依頼

個別のログを見ても不自然さが無い

個別のログを見ても不自然さが無い

モニタリングの例

削除申請されたアカウントが、正しく削除されているか

削除申請されたアカウントが、正しく削除されているか

承認されていない外部媒体使用が無いか

承認されていない外部媒体使用が無いか

削除申請されたアカウントでシステムが利用されていないか

削除申請されたアカウントでシステムが利用されていないか

申請システム

「

2009/3/31 14:00 アカウント(

ユーザ

B

)の削除申請」

顧客情報システム

「

2009/7/24 10:00

ユーザ

B

が

PC01からログイン」

×

ログ ログ

突合による不正操作の抽出

「申請データ」と「実作業ログ」を突合する

「申請データ」と「実作業ログ」を突合する

or

CSV

レポート例①

ワークフロー側 （申請情報）

・作業時に利用するユーザ

ID

・作業時間

FROM-TO

ワークフロー側 （申請情報）

・作業時に利用するユーザ

ID

・作業時間

FROM-TO

サーバ側 （実作業情報）

・ログインユーザ

ID

・ログイン時間

サーバ側 （実作業情報）

・ログインユーザ

ID

・ログイン時間

突合レポートの例

突合レポートの例

レポート例②

マスタ連携レポートの例

マスタ連携レポートの例

_{ログに含まれない情報も、社員・}

部署マスタとの連携により出力

ログに含まれない情報も、社員・

部署マスタとの連携により出力

統合ログ管理システム

Logstorage システム構成と機能

ログ出力元

LogGate

Ｃｏｎｓｏｌｅ （Ｗｅｂアプリケーション）

ルータ/IDS/ファイアウォール等

Ａｇｅｎｔ

SNMPトラップ

外部コマンド実行

メール送信

管理者・監査人

（Webブラウザ）

分析

分析

検索

検索

受信機能

検知機能

保管

機能

検索

集計

レポート

ログ

各種サーバ

ログ受信機能

・Syslog / FTP / FTPS / File / SNMP / Agent

等のログ収集方法をサポート

・マスタと連携したログの収集

ログ保管機能

ログ検知機能

検索・集計・レポート機能

・定義されたポリシーに合致するログを受信した際に、

アラートを上げる

・ポリシーはストーリー的に定義可能 （

シナリオ検知

）

・ログに対するインデックス生成（

高速検索

）

・ログに対する電子署名生成（

改ざん検出

）

・ログに対する意味（タグ）付け

・ログの暗号化保存

・保存期間を経過したログを自動アーカイブ

・ログの検索／集計／レポート生成

・検索結果に対する、クリック操作による絞込み

統合ログ管理で重要と考えるポイント

・

リーズナブル

なライセンス体系

・

スケーラブル

なシステム構成

・

フレキシブル

なログ管理機能

「

Think Big, Start Small

」

-スモールスタート可能なライセンス体系

スモールスタート＆ハイスケーラビリティ

スモールスタート＆ハイスケーラビリティ

Console

検索・分析

フェーズ

3

AL版

AL版

(35万円)

EP版

_EP版

_{(200万円～)}

LogGate

LogGate

LogGate

ログ

ログ

ログ

フェーズ

1

フェーズ

2

収集対象

収集対象

LogGate

LogGate

フェーズ

1

小規模～超大規模まで、幅広い

ライセンス体系と拡張の柔軟性

小規模～超大規模まで、幅広い

ライセンス体系と拡張の柔軟性

柔軟なログフォーマット管理機能

フォーマット定義された項目をキーにした検索、軸にした分析が自由自在

フォーマット定義された項目をキーにした検索、軸にした分析が自由自在

自由自在

1,カード認証OK ,2007/6/15 08:56,000500 山田 太郎,ｶｰﾄﾞ操作記録,ｶｰﾄﾞ:施解錠状態,(01011001)(扉1-1),解錠 入室

ユーザ名

ユーザ名

ゲート名

ゲート名

ｱｸｼｮﾝ（行動）

ｱｸｼｮﾝ（行動）

ユーザＩＤ

ユーザＩＤ

SmartOn, 2007/06/15 08:58:27, 000500, 192.168.0.1, PC01, <山田 太郎>がWindowsにログオンしました。

APP名

APP名

ユーザＩＤ

ユーザＩＤ

ユーザ名

_ユーザ名

ＩＰアドレス

ＩＰアドレス

発生時刻

発生時刻

例） 入退室ログ

例） 入退室ログ

発生時刻

発生時刻

ＰＣ名

ＰＣ名

アクション（行動）

_{アクション（行動）}

例

) 認証ログ

例

) 認証ログ

横串・横断検索／分析

横串・横断検索／分析

特 許 取 得

特許番号 特許4050497

名称 ログ情報管理装置及びログ情報管理プログラム

特許番号 特許4050497

名称 ログ情報管理装置及びログ情報管理プログラム

ログフォーマット定義

ログフォーマット定義

3

3

年連続

年連続

導入シェア

導入シェア

No.1(*)

No.1(*)

の実績

の実績

日本国内で利用されているものを中心に

200種以上

のログ収集実績

［OSシステム・イベント］

Windows/Solaris/AIX/HP-UX

/Linux/BSD …その他

［OSシステム・イベント］

Windows/Solaris/AIX/HP-UX

/Linux/BSD …その他

［データベース監査ツール］

PISO/Chakra/SecureSphere/

SSDB監査/IPLocks/SQLGuard

…その他

［データベース監査ツール］

PISO/Chakra/SecureSphere/

SSDB監査/IPLocks/SQLGuard

…その他

［ネットワーク機器］

Cisco PIX/Cisco Catalyst/

NetScreen/SSG/VPN-1/

Firewall-1/SSL-VPN

/FortiGate/NOKIA IP

/SonicWall/BIG-IP

/IronPort/ServerIron

/PaloAlto PA

…その他

［ネットワーク機器］

Cisco PIX/Cisco Catalyst/

NetScreen/SSG/VPN-1/

Firewall-1/SSL-VPN

/FortiGate/NOKIA IP

/SonicWall/BIG-IP

/IronPort/ServerIron

/PaloAlto PA

…その他

［メール］

MS Exchange /sendmail/

Postfix/qmail/Exim

…その他

［メール］

MS Exchange /sendmail/

Postfix/qmail/Exim

…その他

［クライアント操作］

LanScope Cat/InfoTrace/

IVEX Logger/秘文/CWAT

SeP/QND/QOH

…その他

［クライアント操作］

LanScope Cat/InfoTrace/

IVEX Logger/秘文/CWAT

SeP/QND/QOH

…その他

［運用監視］

JP1/Systemwalker/OpenView

…その他

［運用監視］

JP1/Systemwalker/OpenView

…その他

［データベース］

Oracle/SQLServer/DB2/

PostgreSQL/MySQL

…その他

［データベース］

Oracle/SQLServer/DB2/

PostgreSQL/MySQL

…その他

［サーバアクセス］

ALogコンバータ/VISUACT/

File Server Audit/

CA Access Control

…その他

［サーバアクセス］

ALogコンバータ/VISUACT/

File Server Audit/

CA Access Control

…その他

［Ｗｅｂ/プロキシ］

Apache/IIS/BlueCoat/

i-FILTER/squid/WebSense/

WebSphere /WebLogic/

Apache Tomcat /Cosminexus

…その他

［Ｗｅｂ/プロキシ］

Apache/IIS/BlueCoat/

i-FILTER/squid/WebSense/

WebSphere /WebLogic/

Apache Tomcat /Cosminexus

…その他

［複合機］

imageRunner/Apeos

…その他

［複合機］

imageRunner/Apeos

…その他

［その他］

・SAP R/3 (ERP)

・NetApp (NAS)

・e-SG (入退室管理)

・MSIESER (パケットキャプチャ)

・iSecurity (iSeries/AS400)

・文録゛ (MSOffice操作)

…その他

［その他］

・SAP R/3 (ERP)

・NetApp (NAS)

・e-SG (入退室管理)

・MSIESER (パケットキャプチャ)

・iSecurity (iSeries/AS400)

・文録゛ (MSOffice操作)

…その他

［ICカード認証］

SmartOn/ARCACLAVIS

…その他

［ICカード認証］

SmartOn/ARCACLAVIS

…その他

［Lotus Domino］

Lotus Domino/

Notes AccessAnalyzer2/

Auge AccessWatcher

…その他

［Lotus Domino］

Lotus Domino/

Notes AccessAnalyzer2/

Auge AccessWatcher

…その他

［アンチウィルス］

Symantec AntiVirus/

TrendMicro InterScan/

McAfee VirusScan

…その他

［アンチウィルス］

Symantec AntiVirus/

TrendMicro InterScan/

McAfee VirusScan

…その他

圧倒的な実績と国内製品向けテンプレート

AUDIT MASTER (Oracleアクセスログ収集)

株式会社アクアシステムズ

Sendmail (MTA, メール転送エージェント)

センドメール株式会社

SSDB監査 (SQL Serverアクセスログ収集)

株式会社システムエグゼ

Auge AccessWatcher (Lotus Domino/Notes アクセスログ収集)

オージェテクノロジー株式会社

File Server Audit

(ファイルサーバアクセスログ収集) VISUACT (ファイルサーバアクセスログ収集) 監査れポータル （IT全般統制 評価支援レポート） ARCACLAVIS Revo （ICカード認証ログ収集） IVEX Meta Logger (シンクライアント操作ログ収集) InfoTrace (クライアント操作ログ収集) 製品名

株式会社日本システムディベロップメント

セキュリティフライデー株式会社

株式会社アシスト

株式会社アイ・ビー・イー・ネット・タイム

アイベクス株式会社

株式会社ソリトンシステム

開発下・販売元 PISO (データベースアクセスログ収集)

株式会社インサイト・テクノロジー

ALogコンバータ (ファイルサーバアクセスログ収集)

株式会社網屋

SecureSphere DMG (データベースアクセスログ収集)

株式会社アークン／米Imperva

Chakra (データベースアクセスログ収集)

株式会社ニューシステムテクノロジー

i-FILTER (Webフィルタ・アクセスログ収集)

デジタルアーツ株式会社

LanScope Cat (クライアント操作ログ・アラートログ収集)

エムオーテックス株式会社

製品名 開発元・販売元

[管理対象を限定した特別エディション]

Logstorage アライアンス版

[管理対象を限定した特別エディション]

Logstorage アライアンス版

［ログの自動収集／管理／各種テンプレートパック］

_{Logstorage 連携パック}

［ログの自動収集／管理／各種テンプレートパック］

Logstorage 連携パック

etc…

各種メーカーとの協業

/連携製品

国産メーカーを中心とした連携製品

国産メーカーを中心とした連携製品

約

_約

2

2

ヶ月に

ヶ月に

1

1

製品のペースでリリース

製品のペースでリリース

統合ログ管理システム活用のまとめ

今夏、ログ管理に関するガイドライン・ノウハウ集を

当社からリリースする予定です。ご期待下さい

!!

今夏、ログ管理に関するガイドライン・ノウハウ集を

当社からリリースする予定です。ご期待下さい

!!

まとめ

まとめ

統合ログ管理を始める場合、まずはスモールスタートで

ログの追跡性を意識した統合ログ管理の構築を

最低限のログの取捨選択を

（迷わず捨てられるログはある）

ログに対するニーズは変化

/増加し続ける。柔軟性を!!

IT運用管理

マーケティング

業務効率改善

グリーンＩＴ

正しい統合ログ管理基盤の構築により、活用範囲は広がる

!!

[参考]

LogstorageによるGumblar対策

正規の

Webサイト

Webサイト

管理者

悪意のある

Webサイト

[3] 改ざん

通常の

Web

サイト管理

[1] ID詐取

攻撃者

[4] サイト閲覧

[5] 誘導+ウィルス感染

リアルタイムアラート（メール等）

定期レポート出力

(日時/1時間毎など)

予定していない時間に

Webサイトの更新が

発生していないか

?

予定していない時間に

Webサイトの更新が

発生していないか

?

コンテンツの

ロールバック

[2] ウィルス配置

Logstorage

Logstorage

による

による

Gumblar

Gumblar

対策

対策

Logstorageの

導入により可能に

なる対応

Gumblar被害の

流れ

一般ユーザ

FTPアクセス

ログ収集

アラート／

レポート

– インフォサイエンス株式会社

– 〒108-0023 東京都港区芝浦2-4-1インフォサイエンスビル

– http://www.infoscience.co.jp/

開発元

開発元

– インフォサイエンス株式会社 プロダクト事業部

– TEL 03-5427-3503 FAX 03-5427-3889

– http://www.logstorage.com/

– mail : [email protected]

お問い合わせ先

お問い合わせ先

END

「

結局、ログはどう使われているのか？

～ 目指すべきログ管理の姿とは ～

」

2010/3/10

インフォサイエンス株式会社 プロダクト事業部

稲村 大介