PowerPointテンプレート

Infoscience Corporation

www.infoscience.co.jp info@logstorage.com Tel: 03-5427-3503 Fax: 03-5427-3889

ログから始めるクラウド運用のポイント

インフォサイエンス株式会社

プロダクト事業部

2017/06/28

インフォサイエンス株式会社 概要

設立

1995年10月

代表者

宮 紀雄

事業内容

•パッケージソフトウェア

「Logstorage」シリーズの開発

•データセンタ運営

•受託システム開発サービス

•包括システム運用サービス

所在地

東京都港区芝浦2丁目4番1号

インフォサイエンスビル

ログから始めるクラウド運用のポイント

1. ログ管理の目的

2. Logstorage 製品ラインナップ ご紹介

3. クラウド運用の課題

4. クラウドログ管理の課題と解決

5. 事例ご紹介

システムへの脅威

ログ管理の目的

様々なルールや脅威への対応のために、ログの管理が行われている

個人情報保護法

ISO27001/ISMS

国際ペイメントブランド/PCI DSS

APT/標的型攻撃

内部犯行による情報漏えい

サイバー犯罪捜査

金融商品取引法

マイナンバー/番号法

法令／ガイドライン

「ログ」の管理・モニタリングは、今や

情報セキュリティの中心的な対策となっている

経産省/クラウドセキュリティガイドライン

経産省 クラウドセキュリティガイドライン

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

経済産業省から2013年改訂版が公開

「このガイドラインの利活用によって，クラウド利用者がクラウドコンピューティングの利用に

あった情報セキュリティ対策を実施し，クラウドコンピューティングの活用が促進されることが望

まれる。」

ログに関する基準

10.10 監視

システムを監視することが望ましく，また，情報セキュリティ事象を記録することが望ましい。

具体的な要件

10.10.1 監査ログ取得

10.10.4 実務管理者及び運用担当者の作業ログ

10.10.2 システム使用状況の監視

10.10.5 障害のログ取得

10.10.3 ログ情報の保護

10.10.6 クロックの同期

クラウドサービス利用者として必要とされるログ監視の要件が明記されています

AWSの共有責任モデル

AWSを利用する上でのユーザが負担すべき責任

・ユーザのデータ

・アプリケーション

・セキュリティグループ

・OS

・アカウント管理

・ネットワーク設定

・OSファイアウォール

・ファシリティ

・物理セキュリティ

・物理インフラ

・ネットワークインフラ

・仮想インフラ

ユーザが

管理

AWSが

管理

AWSの責任共有モデル

AWSシステムのセキュリティはユーザも責任を負う必要がある

AWSユーザが管理する必

要があるポイント

各種法令／ガイドラインへの準拠の際にも注意が必要

ログから始めるクラウド運用のポイント

1. ログ管理の目的

2. Logstorage 製品ラインナップ ご紹介

3. クラウド運用の課題

4. クラウドログ管理の課題と解決

5. 事例ご紹介

Logstorage ご紹介

あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理システムです。内部統制、情報漏

えい対策、サイバー攻撃対策、システム運用監視、業務効率改善など、多様な目的に対応できる、統合ログ分野でのデフ

ァクトスタンダード製品です。

出典：ミック経済研究所「情報セキュリティソリューション市場の 現状と将来展望2016(統合ログ管理市場)」

Logstorageは10年連続市場シェアNo.1

導入実績 累計 2,200社！

「Logstorage」とは

Logstorage

A製品

その他

B製品

C製品

38.9％

Logstorage ラインナップ

統合ログ管理製品の決定版

日本国内のセキュリティ運用にフィットした

SIEM製品

AWSを始めとして、Microsoft Azure等の様

々なパブリッククラウドのログ管理ツール

機能・システム構成

ログ収集機能

[受信機能]

・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]

・Agent

・EventLogCollector

・SecureBatchTransfer

ログ保管機能

ログ検知機能

検索・集計・レポート機能

・ポリシーに合致したログのアラート

・ポリシーはストーリー的に定義可能

(シナリオ検知)

・ログの圧縮保存／高速検索

・ログの高速検索用インデックス作成

・ログの改ざんチェック機能

・ログに対する意味（タグ）付け

・ログの暗号化保存

・保存期間を経過したログを自動アーカイブ

・ログの検索／集計／レポート生成

・インデックスを用いた高速検索

・検索結果に対する、クリック操作による絞込み

・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)

<Logstorage システム構成>

ログ収集実績／連携製品

日本国内で利用されているソフトウェア・機器を中心に

250種以上

のログ収集実績

【Logstorage アライアンス製品】

LanScope Cat

SecureCube / AccessCheck

CWAT

InfoTrace

MylogStar

IVEX Logger シリーズ

i-FILTER

MaLion

VISUACT

SSDB監査

PISO

SKYSEA Client View

Palo Alto Networks NGFW

Amazon Web Service (AWS)

Microsoft Azure

［OSシステム・イベント］

・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD

［Web/プロキシ］

・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus

［アンチウィルス］

・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris

［複合機］

・imageRunner ・Apeos ・SecurePrint!

［Lotus Domino］

・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher

［クライアント操作］

・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・IVEX Logger ・秘文 ・SeP ・QND/QOH

［メール］

・MS Exchange ・sendmail ・Postfix ・qmail ・Exim

［データベース］

・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL

［ネットワーク機器］

・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・FortiGate ・BIG-IP ・IronPort ・ServerIron ・Proventia

［サーバアクセス］

・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control

［その他］

・VMware vCenter ・SAP R/3 (ERP) ・NetApp (NAS) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server ・BOX ・Office 365 …その他

［データベース監査］

・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium

［ICカード認証］

・SmartOn ・ARCACLAVIS Revo

［運用監視］

・Nagios ・JP1 ・Systemwalker ・OpenView

Logstorage X/SIEM

リアルタイムでの高度なログ分析を提供

ログ収集機能

[受信機能]

・Syslog / 共有フォルダ

[ログ送信・取得機能]

・Agent

・EventLogCollector

アラート

・ユーザが自由に作成・編集可能な高度なポリシー

・ポリシーに合致したログのアラート

・相関分析を用いた動的かつ高度なポリシーの作成

・メール、または外部コマンドの実行

検索／高度なGUI

・ログの検索

・容易かつ高度な検知ポリシー作成・編集

・ダッシュボードを用いた同時監視

・リアルタイムモニタ

高度な連携

・脅威DBとの連携機能提供

（提供元との別途ご契約が必要）

receive

Firewall ルーター スイッチ Windows ELC Agent ファイルサーバ _Linux

sensor

API

GUI

web

アラート

（メール、コマンド

実行）

indexer

Logstorage クラウド対応ラインナップ

Logstorage for AWS/

Logstorage 連携パック for AWS

Logstorage 連携パック for Azure Activity Log

Logstorage クラウド向けログ収集モジュール

Logstorageはマルチ／ハイブリッドクラウド対応を進めています

Logstorageはパブリッククラウドサービスへの取り組みを通じて、来るマルチ／ハ

イブリッドクラウドへの対応を進めています。

ログから始めるクラウド運用のポイント

1. ログ管理の目的

2. Logstorage 製品ラインナップ ご紹介

3. クラウド運用の課題

4. クラウドログ管理の課題と解決

5. 事例ご紹介

パブリッククラウド構築の可視化

パブリッククラウド上の操作は「見えない」

オンプレミスとパブリッククラウドの比較

オンプレミスでの作業

パブリッククラウドでの作業

H/W調達

実機を購入

API/Webでインスタンス作成

データセンター設置

データセンター搬入

同上

ネットワーク接続、設定

ケーブル結線

ルーター設定の操作

API/Webで設定

ファイアウォール設置、設定

ファイアウォール設定の操作

同上

従来のシステム構築では実機の搬入や結線を実施していたが、パブリッククラウドでは全ての

システム構築過程が「API」（またはWebインターフェース）で実行されるため、作業内容がわ

かりづらい。

H/Wレベルの操作を把握するためには「ログ」を取得する必要がある！

パブリッククラウド運用の特徴

サービス開始後もサイジング変更が容易

オンプレミスでは機器の性能は構築が終わると変更が難しい

• サービスイン後に性能不足が発生させるのを避けるため、H/Wにかなりの安全係数を掛けて設計

• → 運用後にリソース余剰が発生してもそのまま運用を継続するしか無い

パブリッククラウドでは機器の性能の変更はいつでも可能

• スモールスタートでサービスインしておき、ログやステータス情報から必要に応じて性能をス

ケールアップさせたインスタンスへの変更が可能

• AWSやAzureでは、原則としてインスタンスの起動時間に応じてコストが掛かる

• → インスタンスのCPU負荷やメモリ使用率はコストとしては変動しない

• e.g. ログや性能情報からインスタンスのスペックを下げることも検討できる

インスタンスのログや性能をモニタリングすることが重要

マネージドサービス固有の問題

マネージドサービスの監査をどうするか？

• Amazon AWS S3、box、Office365等のマネージドサービス（直接提供OSを操作しないサービス）の

状態は、仮想マシンに直接アクセスできないため、マネージドサービスから提供されているAPIを

用いて利用状態を把握する必要がある。

課題

• 進化の著しいパブリッククラウドサービスが提供するAPIを用いて、ログや状態を監視する処理を

作り込まなくてはならない

• 直感的にサービスの状態が把握しづらい（機器やOSの負荷が直接見えない）ため、ログや統計情

報などを横断的に把握する必要がある

• →ファイルアップロード、メール流量が増加していないか？

外部接続用のN/W機器や回線を増強する必要があるのではないか？

マネージドサービスのログをモニタリングすることが重要

ハイブリッドクラウドとは？

ハイブリッドクラウド環境の登場

オンプレミス、プライベートクラウド、ハイブリッドクラウドの各サービスの長所、コストを勘案

し、組み合わせて構築したシステムを指します。

そもそもハイブリッドクラウドとは？

ハイブリッドクラウド移行例

データベース

ファイルサーバ

メールサーバ

アプリケーション

サーバ

Amazon

EC2

Amazon

RDS

box

（ファイル共有）

Office365 Exchange

ハイブリッドクラウドにおける課題(1)

標的型攻撃対策の必要性

標的型攻撃はオンプレミス・パブリッククラウドを問わず、どの環境からも侵入され、相互に侵害

が発生する可能性があります。

標的型攻撃は侵入場所を問わない

想定される攻撃例

• EC2インスタンスへのマルウェア感染

• DDoS踏み台化

• RDSからの重要情報漏えい

• boxからのファイル漏えい、削除

標的型メール攻撃でPCがマルウェア感染

標的型攻撃を境界で防ぐことが難しくなっている上に、ハイブリッドクラウド環境はシステム構成

が複雑化する傾向にあります。

そのような環境下で

いかに侵入をいち早く検出し、被害を押さえ込む

ことが重要なポイントです。

ハイブリッドクラウドにおける課題(2)

各種パブリッククラウドサービスのログ取得の実装、ログ内容はサービス毎に異なります。

ログ取得処理を自ら開発・運用したり、フォーマット・意味付けの異なるログをレビューしていて

は、運用コストの増大を招きかねません。

システムは複雑化しても監査・管理は必要

AWS

CloudTrail

Amazon

EC2

運用担当者

オンプレミス

ハイブリッドクラウド監視の解決策

ハイブリッドクラウドを統合管理することで効率的に管理する

ハイブリッドクラウドの複雑な構成をLogstorageを用いて効率的にセキュリティ対

策を行うことが可能です。

AWS

CloudTrail

Amazon

EC2

オンプレミス

各環境からのログ収集、分析は

Logstorageが実施

運用担当者はLogstoageで横断的

にログやイベントの確認が可能

ログから始めるクラウド運用のポイント

1. ログ管理の目的

2. Logstorage 製品ラインナップ ご紹介

3. クラウド運用の課題

4. クラウドログ管理の課題と解決

5. 事例ご紹介

クラウドサービスのログ取得

パブリッククラウドのログを取得するだけでも一大事

AWS

CloudTrail

S3 bucket

AWS CloudTrail のログ取得

AWS CloudWatch Logs のログ取得

Amazon

CloudWatch

CloudWath Logs 内部で保持

APIで取得する必要あり

API

S3バケットに

ファイルで出力

ログを取るだけでも、サービスによって方式が異なる

Logstorage クラウドラインナップ

Logstorage クラウドラインナップでパブリッククラウドのログ収集を容易に実現

Logstorage for AWS / Logstorage 連携パック for AWS

連携パック for

Azure Activity Log

クラウド向けログ

収集モジュール

サービス間でのログの差異

ログのフォーマットはサービスでバラバラ

"Records": [{

"eventVersion": "1.0",

"userIdentity": {

"type": "IAMUser",

"principalId": "EX_PRINCIPAL_ID",

"arn": "arn:aws:iam::123456789012:user/Alice"

AWS CloudTrail のログ

79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be mybucket [06/Feb/2014:00:00:38 +0000] 192.0.2.3

79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be 3E57427F3EXAMPLE REST.GET.VERSIONING - “GET

/mybucket?versioning HTTP/1.1” 200 - 113 - 7 - “-” “S3Console/0.4” - （1行）

79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be mybucket [06/Feb/2014:00:00:38 +0000] 192.0.2.3

79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be 891CE47D2EXAMPLE REST.GET.LOGGING_STATUS - “GET

/mybucket?logging HTTP/1.1” 200 - 242 - 11 - “-” “S3Console/0.4” - （1行）

AWS S3 アクセスログ

マルチクラウドではさらに・・・

さらにマルチクラウドでは対応すべきフォーマットが増加する

"authorization": {

"action": "Microsoft.Security/register/action",

"scope": "/subscriptions/70435def-b7c2-45cb-9258-f2d6a1835f34"

},

"caller": “user@domain.onmicrosoft.com",

"channels": "Opera

Azure Acticity Log

"created_at": "2017-02-02T16:50:51-08:00",

"event_id": "5dfbd9a7-d022-42a9-9b9a-00818d338686",

"event_type": "DOWNLOAD",

"ip_address": “XXX.XXX.XXX.XXX",

"type": "event",

box アクセスログ

マルチクラウド環境でのログ管理は、フォーマットの差異を

吸収しないと管理者の運用コストが増大する

ログ分析によるレビュー負荷の削減

Logstorageのログ分析機能で可読性を向上、レビュワーの負荷を削減します

Logstorageに取り込むことで、様々なサービス／

ログの長期保管コスト

ログの長期間・大量保存はコストが掛かる

ログをそのままの状態で長期保管すると、ストレージに掛かる

コストが増大していきます

 1日にシステム全体で10GBのログが出力される場合

10GB × 365(日) =

3,650 GB

必要

 ログの保存期間に応じて期間は増減する

例：PCIDSS 最低1年以上保存が必要

 AWS EBS 上に保存する場合・・・

st1（Throughput Optimized）で計算すると（4,000GBで計算）

$218/月 、年額で

$2,616

必要になる

（2017年6月現在）

 より長期間保存するのであれば、コストが積み上がっていく

ログの高効率圧縮でストレージを活用する

独自の圧縮方式で、レスポンスを損なうこと無く

効率的なストレージ運用が可能

Amazon

EC2

Amazon

CloudWatch

AWS

CloudTrail

ログを圧縮保存することで効率的なストレージの活用が可能

Amazon EBS

ログを最大

10分の1

に圧縮して保存

Logstorage

圧縮した状態のまま

で

レポート等活用可能

オフライン化でさらに効率的な運用

オフラインデータを安価なオブジェクトストレージに移動

Amazon EBS

Logstorage

オンライン

ログデータ

（3ヶ月分）

オンライン

期間を経過した

古いログデータ

Amazon

S3

Amazon

_Glacier

オンライン期間を経過したログデータは、

より安価なオブジェクトストレージに移動

過去のログデータを活用したい場合は、

オブジェクトストレージからリストア

オフライン運用との組み合わせで、安価なオブジェクト

ストレージにログデータを移動してコスト抑制

ログから始めるクラウド運用のポイント

1. ログ管理の目的

2. Logstorage 製品ラインナップ ご紹介

3. クラウド運用の課題

4. クラウドログ管理の課題と解決

5. 事例ご紹介

[事例1] AWS上でのルール準拠

ログ収集対象

ルータ

踏み台サーバ

スイッチ

_{NATインスタンス}

認証サーバ

セキュリティ端末

その他、セキュリティ管理サーバ

全顧客の AWS CloudTrail ログ

全顧客の AWS Config ログ

Logstorage導入目的

 各種セキュリティ認証の取得

(PCI DSS / ISO27001)

 SOC2 への取り組み

 上記への対応を通じ、セキュリティへの取り

組みについて客観的な評価に基づく透明性の

確保、高度なセキュリティ体制の実現

Logstorage導入環境

認証サーバ Logstorage

その他

管理サーバ

踏み台

サーバ

社内インフラVPC

ルータ

_VPN装置

閉塞網

Internet

セキュリティ端末

東京拠点

ルータ

東品川

データセンター

Direct Connect

(専用線接続)

セキュリティ

ネットワーク

Customer

gateway

[事例1] cloudpack様 コメント

○SOC 2報告書

○PCI DSS認証

 『Logstorageは、PCI DSSで求められるログの暗号化と改ざん検出に標準機能で対応しており、

別の製品と組み合わせる必要なく対応できた』

 『結果、PCI DSS認証取得において、ログに関する指摘事項は無かった』

 『Logstorageを利用したログの一元管理はSOC2対応でも踏襲した。AWSを対象としたフルマ

ネージドサービス事業で、国内で初めてSOC 2報告書を受領した。』

 『LogstorageはAMIでも提供されるため、インストールには殆ど手間が掛からなかった』

 『多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対応は

助かった。』

○その他

[事例2] 複数アカウントログの統合管理

複数のAWSアカウントのCloudTrail/Configログを統合管理

AWS

CloudTrail

AWS

Config

複数のユーザアカウント

統合管理用アカウント

集約されたログを

一括で検索、確認

ハンズラボ株式会社様

導入目的：

• 内部統制、PCIDSS対応

• エンジニア全員がAWSを利用し

ており、AWS上の作業の監視

• AWS上のログデータの統合的な

管理

• ログの集中管理を行うことで、

有事の際の迅速な対応

頂いたコメント（抜粋）

・複数アカウントのログを集中管理でき、調べたい情報（検索結果）を得るスピードが格段に向上しました。

「Logstorage for AWS」に含まれる有用なテンプレートも使用していますが、任意の検索条件を容易に作成するこ

ともできるので、目的に応じ活用しています。

[事例3] ハイブリッド運用

社内ルーター _router

LogGate

（ログ収集サーバ）

ELB

WebAPサーバ

Amazon

RDS

LogGate

（ログ収集サーバ）

（管理／GUIサーバ）

Console

事業者データセンター

AWSから一般ユーザ向けに

Webサービスを展開

凡 例

Webサービスの経路

ログデータの経路

Logstorage検索処理

SecureCube AccessCheck でデータセンタ機器と

AWS EC2への

事前承認のないアクセスを排除

SecureCube AccessCheckの

ログも収集し、機器・EC2の

ログと突合する

AccessCheckを経由しない

違反アクセスを監査

ログデータ自体はデータセンターとEC2でそれぞれ別個に保存

し、検索結果だけをAWSから取得させることで、

AWSからの転

送コストを低減

オンプレミス、AWSの双方にSecureCube AccessCheckを用いて特

権ID管理を実施、

ハイブリッドクラウドでの不正アクセス監査

を実現

Logstorage 関連資料

URL: http://www.logstorage.com/product/product_materials.html

- Logstorage ご紹介資料

- Logstorage for AWS ご紹介資料

その他、ログ活用資料掲載中。

お問い合わせ先・開発元

インフォサイエンス株式会社 プロダクト事業部

TEL 03-5427-3503 FAX 03-5427-3889

ご清聴ありがとうございました

お手数ですが、お手元のアンケート

記入にご協力お願いいたします

ログから始めるクラウド運用のポイント

2017/06/28

インフォサイエンス株式会社 プロダクト事業部

サイバー・セキュリティ・コンサルティングチーム