ログはどうしたら使い物になるのか。 ログを活用するための考え方とは？ ～「宝の山」を「ゴミの山」に変えないために～

Infoscience Corporation

www.infoscience.co.jp [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889

2014年2月5日

インフォサイエンス株式会社 プロダクト事業部

ログは取るだけでは終わらない

～ログを「診る」ために必要な仕掛けとは～

Contents

1. インフォサイエンスのご紹介

2. ログ管理の目的

3. 統合ログ管理システム「Logstorage」

4. ポイント① ログの集め方

5. ポイント② ログの見方

インフォサイエンス株式会社 概要

設立

1995年10月

代表者

宮 紀雄

資本金

1億円

事業内容

• パッケージソフトウェアの開発

• データセンタ運営

• 受託システム開発サービス

• 包括システム運用サービス

所在地

東京都港区芝浦2丁目4番1号 インフォサイエンスビル

＜開発から運用までの業務フェーズ概要＞

システム運用から生まれたパッケージソフトウェア

3

ログ管理の目的

プライバシーマーク

ISO27001/ISMS

経産省/クラウドセキュリティガイドライン

国際ペイメントブランド/PCI DSS

APT/標的型攻撃

情報漏洩（内部犯行）

経費削減（複合機のログ分析等）

労務管理（入退室ログ分析等）

サイバー犯罪捜査

様々なルールや脅威への対応のために、ログの管理が行われている

金融商品取引法

個人情報保護法

不正アクセス禁止法

システムの稼働状況確認

システムの負荷分析

システムの障害調査

【法令対応】

【ガイドライン準拠】

【運用管理】

【外部・内部脅威対策】

【業務改善／経費削減】

ログ管理の難しさ

１．ログがあちこちに点在している

- ログを横断して追跡できない

- ログを改ざんから守れない

2. ログのフォーマットもバラバラ

- ログを横断して追跡できない

3. ログの見方がわからない

- ログに何が書いてあるかわからない

- ログに必要な情報が含まれていない

- ログを見る軸がない

ログを取っておいても活用できない理由

統合ログ管理システムとは

・ログの「管理」に関わる様々な課題・問題への対応

- サーバ・機器上でログが改ざんされるリスク／ログ保管容量・期間の問題

・ログの「分析」に関わる様々な課題・問題への対応

- ログの可読性／複数ログの追跡性／多様な分析要件

各種サーバ

(DB/ファイル/Web/Mail)

入退室管理

ネットワーク機器

(FW/Router/LB)

複合機・プリンタ

PC・デバイス

ログ

ログを可視化・モニタリングするための仕掛け

ログ ログ ログ

統合ログ管理システム

高圧縮保管

改ざん検出

自動レポート出力

横串・横断検索

アクセス制限

ログ分析・グラフ化

リアルタイムアラート

統合管理されたログ

ログ

認証システム

ログ ログ

個別のログ管理から統合ログ管理へ

何故ログが「診れない」のか

ログを活用するための仕掛けとは?

ログそのものだけでは、活用に限界がある

Input

統合ログ管理システム

ログデータ

ログ

output

解析／他のログ・申請データ・

マスタデータ・外部データ

解析／他のログ・申請データ・

マスタデータ・外部データ連携

【検索・分析・レポート】

【ログの発生元】

ログに対する意識・環境の変化

2002

2004

2008

ITシステム運用管理

情報セキュリティ

内部統制

Ver.1 (2002.2)

Ver.2 (2003.9)

Ver.3 (2006.11)

情報漏えい事件の多発

個人情報保護法施行

日本版SOX法施行

ファーストリリース

大量データ対応

（ＤＢレス化の実現）

検索・分析の高速化

レポート機能強化

PCIDSS

Ver.4.0 (2010.5)

高圧縮・超高速検索

Windowsイベントログ解析

2006

2010

クラウド・仮想化

※ ミック経済研究所 調べ 出典：「情報セキュリティソリューション市場の現状と将来展望2013 (統合ログ管理市場)」

出荷本数7年連続シェアNo.1

(2012年度シェア 50.2%)

個別のログ管理から「統合ログ管理」へ

2013年

ビックデータ

ログデータ分析・活用

統合ログ管理システム「Logstorage」

ログ収集機能

[受信機能]

・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]

・Agent

・EventLogCollector

・SecureBatchTransfer

ログ保管機能

ログ検知機能

検索・集計・レポート機能

・ポリシーに合致したログのアラート

・ポリシーはストーリー的に定義可能(シナリオ検知)

・ログの圧縮保存／高速検索

・ログの改ざんチェック機能

・ログに対する意味（タグ）付け

・ログの暗号化保存

・保存期間を経過したログを自動アーカイブ

・ログの保存領域管理機能

・ログの検索／集計／レポート生成

・検索結果に対する、クリック操作による絞込み

・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)

・レポートの出力形式のカスタマイズ

<Logstorage システム構成>

Logstorageのログ収集実績

［OSシステム・イベント］

・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD

［Web/プロキシ］

・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus

［ネットワーク機器］

・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・FortiGate ・BIG-IP ・IronPort ・ServerIron ・Proventia

［クライアント操作］

・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・IVEX Logger ・MaLion3 ・秘文 ・SeP ・QND/QOH

［データベース］

・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL

［サーバアクセス］

・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control

［データベース監査ツール］

・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium

［メール］

・MS Exchange ・sendmail ・Postfix ・qmail ・Exim

［ICカード認証］

・SmartOn ・ARCACLAVIS Revo

_{［その他］}

・VMware vCenter ・SAP R/3 (ERP) ・NetApp (Storage) ・EMC (Storage) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server …その他

［運用監視］

・Nagios ・JP1 ・Systemwalker ・OpenView

［アンチウィルス］

・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris

［Lotus Domino］

・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher

［複合機］

・imageRunner ・Apeos ・SecurePrint!

日本国内で利用されているものを中心に

250種類以上

のログ収集実績

【Logstorage アライアンス製品】

Palo Alto Networks

next-generation firewalls

SecureCube / AccessCheck

LanScope Cat

SecureSphere DMG

CWAT

Sendmail

InfoTrace

Auge AccessWatcher

MylogStar

ALog ConVerter

i-FILTER

IVEX Logger シリーズ

SecurePrint!

ARCACLAVIS Revo

Chakra

MaLion3

SSDB監査

VISUACT

AUDIT MASTER

File Server Audit

PISO

監査れポータル

SecureCube AccessCheckとの連携

開発者／運用担当者

アクセス先サーバ

検索・分析

LogGate

検索 集計 検知 レポート

コンソールサーバ

ログ収集 電子署名 暗号化

分析

検索

管理者

_{検索/集計/レポート}

アクセスログ (サマリーログ) ログ 検索／集計 ログ

Point①

AccessCheckを経由

しないアクセスの検知

ログ

Point②

柔軟性の高い分析機能による

ログの可視化

Point③

今後のログ収集対象の増加に対応

・各種ミドルウェアの動作ログ

・業務アプリケーションのログ

・ネットワーク機器のアクセスログ

・入退室管理システムのログ

・複合機の印刷ログ

・その他

・アクセスログの記録 ・申請データとアクセスログの突合せ ※コンソールサーバとLogGateは1つのOS上で動作させることが可能です。

AccessCheck + Logstorage 連携メリット

ポイント①

ログ収集時に何に気をつけるべきか

ログデータを「使える」ものにする

ログ収集時のポイント

Inpu

t

統合ログ管理システム

ログデータ

ログ

解析／他のログ・申請データ・

マスタデータ・外部データ連携

ログの発生元

・ログが読めない

・ログがつながらない／追跡できない

・ログに必要な情報が含まれていない

ログを解析・変換する

Windowsイベントログの解析

ファイルアクセスなど、複雑な内容で記録されるWindows

イベントログを、人間が見て分かる形に解析・変換する

解析対象ログ

ローカルログオン

リモートログオン

ファイルアクセス

プロセス起動・終了

管理者操作

システム設定変更

【Logstorage EventLogCollector】

ログを追跡可能にする

【ログに記録されるユーザIDの例】

1,カード認証OK ,2013/6/15 08:56,

000500

山田 太郎,ｶｰﾄﾞ操作記録,ｶｰﾄﾞ:施解錠状態,(01011001)(扉1-1),解錠

入室

入退室管理

SmartOn,SOL,2007/06/15

08:58:27,2131,0,

yamada

,192.168.0.1,PC01,192.168.111.124,SMO01.local,Windowsにログオンしました。

認証

qmail: May 15 07:15:57 192.168.0.100 qmail: [ID 748625 mail.info] 1239747357.775176 info msg 322844:

bytes 15515 from <

[email protected]

> qp 2924 uid 7791

メール

"ora104","192.168.0.1",“

domain1¥yamada

","ROOT","ORACLEDBCOLLECT",28,"localhost.localdomain","",10,

29177,"Query","2006-06-15 13:04:10","2006-06-15 13:04:10",0,"2006-06-15 13:04:10",1,0,0,2,2,223,486,"select

* from user where userid=‘admin' and password="*****“…

DB監査

ログの形式やキー項目（ユーザID等）の形式はシステム毎に異なる

1,カード認証OK ,2013/6/15 08:56,000500

yamada, ｶｰﾄﾞ:施解錠状態,(扉1-1),解錠

入室

SmartOn,2013/06/15

08:58:27,2131,0, yamada, 192.168.0.1, PC01,

192.168.111.124, ログオンしました。

タグ：ユーザID

タグ：ゲート名

タグ：行動

タグ：PC名

【入退出ログ】

【認証ログ】

タグ：日時

タグ：ユーザID

タグ：行動

ログフォーマット定義

ログ毎に、項目に対して「タグ」付けを行う

これにより、異なるフォーマットのログを横断的に扱う

タグ：日時

ログを追跡可能にする

ログを追跡可能にする（Logstorage検索画面）

whois?

geoid?

URLカテゴリ?

自社マスタデータ?

ログに足りない情報を足す

input

Radius/DHCP?

ログと内・外の様々なデータを組合せる事でログ活用の範囲は拡大する

活用例

組合わせるデータ

IPアドレスから

ユーザの特定

部署毎のログ監査

Webサイトの

カテゴリ分析

アクセス元/先の

国の分析

アクセス元/先の

企業の分析

ログと社内外のデータの組合せによる活用例

ログ

ログの発生元

ポイント②

ログの見方

ログに記録された事実が適切なものか判断する

ログの分析時のポイント

統合ログ管理システム

ログデータ

output

解析／他のログ・申請データ・

マスタデータ・外部データ

検索・分析・レポート

・ログには発生した事実しか記録されない

・「在るべき姿」と事実である「ログ」の

突合

が重要

NTTソフトウェア様「IT統制対策ソリューション」との連携

ログを突合する [1/2]

変更ログ

・アカウントの登録・削除

・各種サーバの設定変更

④申請内容と作業内容

の突合レポート

⑤ 作業内容の確認

③変更作業

①作業申請

作業者

承認者

作業対象サーバ

作業時の

アクセスログ送信

ワークフロー

システム

②承認

申請データと作業ログの「

突合

」

突合

「基準」の例

実際に発生した事象の記録

「突合」して見つけるもの

作業申請データ

作業対象サーバ上のログ

申請外の作業

_{（申請時間外作業・未申請作業など）}

勤務表

入退室管理システムのログ

勤務実態

（サービス残業の有無など)

IDカード管理台帳

入退室管理システムのログ

未使用IDカード

（退職者の未返却IDカードなど)

サーバ/PC管理台帳

サーバ・PCアクセスログ

管理台帳に無い、非管理サーバ・PC

_{（勝手に持ち込まれたPCなど）}

突合

【突合の例】

【レポート例】

ログを突合する [2/2]

突合

突合

突合

ログ管理・活用インフラとしてのLogstorage

URL分類データ

マスタデータ

オープンデータ

分析システム(BigData基盤)

異常検知システム(SIEM)

脅威データ

分析オプション

アライアンス

Logstorage

Connect!

申請データ

ポリシー／ルール

外部プロフェッショナルサービス

ログソース

クラウド環境

ログソース

END

ログは取るだけでは終わらない

～ログを「診る」ために必要な仕掛けとは～

2014/2/5

インフォサイエンス株式会社 プロダクト事業部

稲村 大介