ログはどうしたら使い物になるのか。 ログを活用するための考え方とは？ ～「宝の山」を「ゴミの山」に変えないために～

Infoscience Corporation

www.infoscience.co.jp [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889

2015年1月23日

インフォサイエンス株式会社 プロダクト事業部

万が一に備える！クラウド環境のログ管理

本当に充分ですか・・・？

Contents

1. インフォサイエンスのご紹介

2. セキュリティとログの関係

3. 実効性の高いログのモニタリングとは

4. ログのモニタリングに必要な仕掛け

5. クラウド環境に於けるログ管理

インフォサイエンス株式会社 概要

設立

1995年10月

代表者

宮 紀雄

資本金

1億円

事業内容

• パッケージソフトウェアの開発

• データセンタ運営

• 受託システム開発サービス

• 包括システム運用サービス

所在地

東京都港区芝浦2丁目4番1号 インフォサイエンスビル

統合ログ管理システム「Logstorage」

導入社数 1,600社

8年連続 シェアNo.1

Logstorage

51.1%

A社

21.2％

B社

8.8％

C社

(7.9%)

D社

(5.3%)

E社

(3.5%)

その他

(2.2%)

ログ管理の目的

個人情報保護法

プライバシーマーク

ISO27001/ISMS

経産省/クラウドセキュリティガイドライン

国際ペイメントブランド/PCI DSS

APT/標的型攻撃

情報漏洩（内部犯行）

サイバー犯罪捜査

様々なルールや脅威への対応のために、ログの管理が行われている

金融商品取引法

不正アクセス禁止法

セキュリティ「制御」には限界がある。

「ログ」のモニタリングにより、リスクを早期に発見する。

マイナンバー/番号法

統合ログ管理システムとは

・ログの「管理」に関わる様々な課題・問題への対応

- サーバ・機器上でログが改ざんされるリスク／ログ保管容量・期間の問題

・ログの「分析」に関わる様々な課題・問題への対応

- ログの可読性／複数ログの追跡性／多様な分析要件

各種認証システム・サーバ

(DB/ファイル/Web/Mail)

ネットワーク機器

(FW/Router/LB)

複合機・プリンタ

PC・デバイス

ログを可視化・モニタリングするための仕掛け

_{統合ログ管理システム}

高圧縮保管

改ざん検出

自動レポート出力

横串・横断検索

アクセス制限

ログ分析・グラフ化

リアルタイムアラート

統合管理されたログ

ログ

ログ

個別のログ管理から統合ログ管理へ

クラウドサービス

入退室管理

ログ ログ ログ ログ ログ

守るべき情報の所在

ログ管理の実態

データベース

・USB接続のデバイスへのコピー

・メールに添付して送信

・クラウドストレージへのアップロード

・紙への印刷

etc…

流出経路

ログ管理システム

ログ送信?

PC

Mail

Server

Web

Proxy

Server

印刷

複合機

File Server

DB Server

持出し

作業員

ログ送信

参照

・ログは取ってるけど見てない（気づけない）

・ログを個別にしか見ていない（横断的な追跡・分析ができない）

・ログを診る「軸」が無い

（正常・異常の区別がつかない）

典型的な例

制御に頼りきり

モニタリング

されていない

Logstorageの機能・システム構成

ログ収集機能

[受信機能]

・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]

・Logstorage Agent

・Logstorage EventLogCollector

・Logstorage SecureBatchTransfer

ログ保管機能

ログ検知機能

検索・集計・レポート機能

・ポリシーに合致したログのアラート

・ポリシーはストーリー的に定義可能(シナリオ検知)

・ログの圧縮保存／高速検索

・ログの改ざんチェック機能

・ログに対する意味（タグ）付け

・ログの暗号化保存

・保存期間を経過したログを自動アーカイブ

・ログの保存領域管理機能

・ログの検索／集計／レポート生成

・検索結果に対する、クリック操作による絞込み

・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML), 出力形式のカスタマイズ

<Logstorage システム構成>

Logstorageのログ収集実績

［OSシステム・イベント］

・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD

［Web/プロキシ］

・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus

［ネットワーク機器］

・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・FortiGate ・BIG-IP ・IronPort ・ServerIron ・Proventia

［クライアント操作］

・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・IVEX Logger ・MaLion3 ・秘文 ・SeP ・QND/QOH

［データベース］

・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL

［サーバアクセス］

・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control

［データベース監査ツール］

・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium

［メール］

・MS Exchange ・sendmail ・Postfix ・qmail ・Exim

［ICカード認証］

・SmartOn ・ARCACLAVIS Revo

_{［その他］}

・VMware vCenter ・SAP R/3 (ERP) ・NetApp (Storage) ・EMC (Storage) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server …その他

［運用監視］

・Nagios ・JP1 ・Systemwalker ・OpenView

［アンチウィルス］

・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris

［Lotus Domino］

・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher

［複合機］

・imageRunner ・Apeos ・SecurePrint!

日本国内で利用されているものを中心に

250種類以上

のログ収集実績

【Logstorage アライアンス製品】

Palo Alto Networks

next-generation firewalls

SecureCube / AccessCheck

LanScope Cat

SecureSphere DMG

CWAT

Sendmail

InfoTrace

Auge AccessWatcher

MylogStar

ALog ConVerter

i-FILTER

IVEX Logger シリーズ

SecurePrint!

ARCACLAVIS Revo

Chakra

MaLion3

SSDB監査

VISUACT

AUDIT MASTER

File Server Audit

PISO

監査れポータル

改めて考えるログ管理・モニタリング

・まず、守りたい情報が何で、どこにあるのかを明確にし、

・その上で、その情報に対するアクセス権管理をしっかりと、

・更にその上で、

アクセス権を持つ者に対するモニタリング

をしっかりと。

ログのモニタリングの重要性が改めて叫ばれているが・・・

ログを保管している “だけ” では、自身で問題に気付けない。

ここはやはり、基本に忠実に。

しかし、不正を100%防ぐことは不可能…

ならば…

モニタリングの対象を絞り、

「

抑止

」

を効かせることに重点を置く。

アクセス権を持つ者に対するログモニタリング

アクセス件数の閾値設定

- データベースからの取得行数のチェック

- 個人情報が含まれるファイルに対するアクセスを、個人情報件数でチェック

外部への情報持ち出し

- USB接続ログのチェック

- 添付ファイル付きメール送信ログのチェック

- 外部アップロードログのチェック

申請データとログの突き合わせ

- 申請外のアクセスが無いかチェック

「抑止」を効かせるログのモニタリング例

～ アクセス権を持つ者の、いつもと違う振る舞い、或いは一般的に危ない振る舞い ～

相関

チェック

ログ管理システムを入れただけでは、それを周知

しても不正抑止にはならない。

日々のモニタリングで、少しでも気になるログが

あれば当事者に確認し、抑止を効かせる。

ログのモニタリングを適切に行うための仕掛け

ログモニタリング 3つの仕掛け

ログを

追える

ようにする

ログを

読める

ようにする

ログを読めるようにする

人間が読んで理解できる形式への変換が必要

日時

サーバ名

アクション

ドメイン名

ユーザ

ファイルパス

ファイル名

成功／失敗

2013-03-01 00:00:00

FS01

ファイル読み込み

infoscience

yamada

D:¥common¥

顧客リスト.xls

成功

2013-03-01 01:00:00

FS01

ファイル書き込み

infoscience

yamada

D:¥common¥

顧客リスト.xls

成功

2013-03-01 02:00:00

FS01

ファイルリネーム

infoscience

yamada

D:¥common

コピー ～ 顧客リスト.xlsx

－

日時

サーバ名

アクション

ドメイン名

ユーザ

接続元ホスト名

接続元IPアドレス

成功／失敗

2013-03-01 00:00:00

FS01

ログオン（ローカル認証）

infoscience

yamada

－

－

成功

2013-03-01 01:00:00

FS01

ログオン（リモート認証）

infoscience

yamada

YAMADA-WORK

192.168.0.1

成功

1,カード認証OK ,2013/6/15 08:56,000500, ｶｰﾄﾞ:施解錠状態,(扉1-1),解錠 入室

SmartOn,2013/06/15

08:58:27,2131,0, yamada, 192.168.0.1, PC01, 192.168.111.124, ログオンしました。

タグ：ユーザID

タグ：対象

タグ：アクション

タグ：PC名

【入退出ログ】

【認証ログ】

タグ：日時

タグ：ユーザID

タグ：アクション

ログに対する意味づけ・タグ付け

タグ：日時

ログを追えるようにする

タグ：結果

ログ項目に対して「タグ」付けを行うことで、

異なるフォーマットのログを横断的に扱う

ログフォーマット定義

タグ：IPアドレス

ログを追えるようにする／ログ形式の違いの吸収

マスタ連携

フィルタ

ログ収集対象サーバ・機器

2013/1/15 08:56, 192.168.0.1, 入室しました…

000500

..,

yamada

2013/1/15 08:56,192.168.0.2,

yamada

, login success…..

2013/1/15 08:56,192.168.0.3,

adm001

, login failure…..,

yamada

③ 共通ID付与

/ログ保存

共通IDを付与したログ

共通IDの付与によるログの追跡

共通IDマスタ

サーバ・機器名 ID 共通ID ネットワーク機器Ａ adm001

_yamada

メールA [email protected]

_yamada

入退出管理 000500

_yamada

共通IDを付与し、ログ追跡時の

キーとして利用する

統合ログ管理システム

LogDB

マスタ連携

ログを追えるようにする（Logstorage検索画面）

ログを評価できるようにする

意味のあるログ分析を行うためには、設定した

「基準」と「ログ」との

“突合”

が重要

「基準」の例

実際に発生した事象の記録

「突合」して見つけるもの

作業申請データ

作業対象サーバ上のログ

申請外の作業

_{（申請時間外作業・未申請作業など）}

勤務表

入退室管理システムのログ

勤務実態

（サービス残業の有無など)

IDカード管理台帳

入退室管理システムのログ

未使用IDカード

（退職者の未返却IDカードなど)

社内セキュリティ

ポリシー

アクセスログ全般

ルール違反のオペレーション

個人情報へのアク

セスログ

USB利用ログ

個人情報の持ち出しの疑い

突合

突合

突合

突合

突合

”ログの突合” により、”正しくない状態” の

発見を自動化することで、確実な監査と業務の効率化を実現する

【導入事例】金融機関様

運用担当者(外部委託/複数社)

システム管理者

（作業承認者）

目的：システムに対する申請外の作業や、休日・平日深夜早朝のアクセスなど、疑わしいログを自動的に

リストアップし、各部署で目視で対応している点検作業の負荷を軽減させる

システム利用者

(行内)

お客様データセンター

お客様オフィス

システム利用

③作業・メンテナンス

②申請データ

アップロード

④アクセスログ収集

①作業申請・承認

選定理由：標準機能で対応できる範囲が大きく、カスタマイズ性も高い。

国産製品で日本国内導入実績が多数あり、金融系の実績も豊富。

⑤突合

レポート出力

20

【導入事例】金融機関様

システム

ユーザID

作業開始時間

作業終了時間

SystemA

suzuki

2012/03/21 10:00:00

2012/03/21 12:00:00

マスタデータ（作業申請）

ログデータ

時刻

ｱｸｼｮﾝ

ユーザID

2012/03/21 13:12:31

ログオン

yamada

2012/03/21 14:49:35

ログオフ

yamada

2012/03/21 10:31:23

ログオン

suzuki

2012/03/21 12:38:21

ログオフ

suzuki

システム

ユーザID

作業開始時間（申請）

作業終了時間（申請）

ログオン時間

ログオフ時間

判定結果

SystemA

yamada

申請なし

申請なし

2012/03/21 13:12:31

2012/03/21 14:49:35

×

SystemA

suzuki

2012/03/21 10:00:00

2012/03/21 12:00:00

2012/03/21 10:31:23

2012/03/21 12:38:21

×

突合

作業申請と作業ログの突合レポート

事前申請通りの作業が行われているか

自動チェック

突合レポート(Logstorageにより自動出力)

運用担当者(外部委託)の

アクセスログ・モニタリング

ログとログの突合

ログとログの突合レポート

日時

ユーザID

対象

件数

外部デバイス

判定結果

2014/08/22 23:32:11

yamada

db1.customer

1,424

USB (E:¥list.xls)

要確認

突合レポート(Logstorageにより自動出力)

突合

日時

ユーザID

IPアドレス

外部デバイス

2014/08/22 23:45:32

yamada

192.168.0.1

USB (E:¥list.xls)

USBデバイス利用ログ

日付

ユーザID

対象

件数

2014/08/22 10:17:02

sato

db1.customer

1,424

2014/08/22 14:54:33

suzuki

db1.customer

1,424

2014/08/22 23:32:11

yamada

db1.customer

1,424

1,000件以上の個人情報取得ユーザ

1,000件以上の個人情報を取得し、かつUSB利用しているユーザを

自動チェック

データベース

DB Server

持出し

_参照

想定ケース

オンプレミス環境のログ管理との違い

・管理コンソールへのアクセスログ

・サービスの生成/起動/停止/削除ログ

・ユーザ管理ログ

・セキュリティポリシー変更ログ

・利用料金ログ

クラウドサービス(AWS/Azureなど)

管理

コンソール

仮想サーバ

・サービス

仮想サーバ

・サービス

仮想サーバ

・サービス

管理アクセス

HTTPS

ユーザの作成・

権限変更

サービスの

生成/起動/停止/削除

利用料金の管理

仮想Firewall

ルール・ポリシー

の設定

ユーザ管理

アラート管理

ユーザ側

管理者

クラウドサービス利用ログの監査

管理コンソール

へのログイン

仮想サーバやサービス上のログだけでなく、

サービスに対する管理アクセス

のログ管理も必要

クラウドサービス上のログ取得

・AWS CloudTrail

・Microsoft Azure 管理ポータルの操作ログ

Amazon Web Service(AWS)のケース

AWSアカウントのAPIコールを記録する仕組み

コンプライアンス準拠

社内規定や規制基準に応じたAWSリソースの

管理について説明するためにこれらの情報を

用いることができる

リソースの

ライフサイクル管理

あるAWSリソースの作成から削除まで追跡す

ることができる

運用上の

トラブルシューティング

リースに対して最近行われた変更を特定する

ことができる

セキュリティ面の分析

不適切な権限でのアクセスのため拒否された

APIコールを見ることができる

・ユーザーがある期間に行った操作は？

・どのAWSユーザーが、いつ、何を、どのように操作したか？

・操作がどの接続元(IPアドレス)から行われたか？

AWS CloudTrail とは

以下のような問いに答えることができます。

AWS CloudTrail 利用上の課題

AWS CloudTrail 利用上の課題

■ログデータは AWS S3（クラウドストレージ） に出力

ログを定期的に取りに行く必要がある。

■そのままでは読めない複雑な形式（JSON形式）で記録される

ログを読めるようにする必要がある。

■記録される内容が多岐に渡る

ログから何を見るか、明確にする必要がある。

ログの取得・解析・分析を自動化するツールが必須

Logstorageのオプション製品「

AWS CloudTrail連携パック

」

Logstorage AWS CloudTrail連携パック レポート例

承認されていないインスタンスの

生成・起動は無いか

誤ったインスタンスの

削除は無いか

管理コンソールに、不正に

アクセスされていないか

管理外の接続は無いか?

承認されていないユーザ

からのアクセスは無いか

日立システムズ様 クラウド向け管理提供サービス

実現イメージ

お客様の課題

解決策

・クラウド上のシステムにログ管理を導入し監査

対応を行いたい。

・ログ管理についてもサービス型で安価な導入と

したい。

・国内シェアNo.1

(*1)

のログ管理製品をクラウド

上で稼働させログ管理を行う。

・製品、及び関連する監視サービスを、月額サー

ビス型で安価に導入する。

(*2)

日立システムズ データセンタ

異常検知

ログ管理システム

状態監視

業務サーバー（5台）

ログ管理サーバ

お客様

ヘルスチェック

エージェント

② ログ検索

レポート

① ログ収集

意味付け・保存

③ ログ管理システム

異常検知

日立システムズ ログ管理ＳＥ

問題分析

連絡

ログ

特権ユーザーの

監査対応等で利用

END

万が一に備える！クラウド環境のログ管理

本当に充分ですか・・・？

2015/1/23

インフォサイエンス株式会社 プロダクト事業部

稲村 大介