ログはどうしたら使い物になるのか。 ログを活用するための考え方とは？ ～「宝の山」を「ゴミの山」に変えないために～

Infoscience Corporation

www.infoscience.co.jp info@logstorage.com Tel: 03-5427-3503 Fax: 03-5427-3889

インフォサイエンス株式会社

プロダクト事業部

統合ログ管理システム「Logstorage」による

AWSシステムの監査・可視化

Contents

1. AWSにおけるログ管理

2. 統合ログ管理システム「Logstorage」と

「Logstorage for AWS」

3. AWS上のログの活用

- AWS CloudTrail

- AWS Config

- Amazon CloudWatch Logs

- Billing

4. Logstorage for AWS 導入事例

- cloudpack(アイレット株式会社)様

- サイトロック株式会社様

設立

1995年10月

代表者

宮 紀雄

事業内容

•パッケージソフトウェア「Logstorage」シリーズの開発

•データセンタ運営

•受託システム開発サービス

•包括システム運用サービス

所在地

東京都港区芝浦2丁目4番1号 インフォサイエンスビル

＜開発から運用までの業務フェーズ概要＞

システム運用から生まれたパッケージソフトウェア

インフォサイエンス株式会社

ログ管理の目的

個人情報保護法

プライバシーマーク

ISO27001/ISMS

経産省/クラウドセキュリティガイドライン

国際ペイメントブランド/PCI DSS

APT/標的型攻撃

情報漏洩（内部犯行）

サイバー犯罪捜査

様々なルールや脅威への対応のために、ログの管理が行われている

金融商品取引法

不正アクセス禁止法

「ログ」の管理・モニタリングは、今や

情報セキュリティの中心的な対策となっている

マイナンバー/番号法

AWS上のログ取得のポイント

AWS上に点在するログと取得サービス

VPC subnet

Network ACL

Security Group

EC2

RDS

ELB

・・・

Management

Console

AWSサービスに対するアクセスログを記録

AWS CloudTrail

AWS CLI

AWS SDK

Applications

AWS Config

AWSサービスの構成変更ログを記録

AWS CloudWatch Logs

EC2インスタンス内のアクセスログを記録

AWS CloudWatch Logs (VPC Flow Logs)

Network ACL / Security Group の通信ログを記録

例）AWS利用グループ,ユーザの作成/削除/権限変更

EC2インスタンスの作成/停止/削除

AWS管理画面(Management Console)へのログイン

例）EC2インスタンスタイプの変更

AIMロールの変更

例）Windowsイベントログ

Linux syslog (/var/log/ 配下のログ等)

その他、テキストログ

・Network Interface単位でのACCEPT/REJECTログ

左記のサービスのログにより、AWS

上のあらゆるアクティビティの監査

AWS上のログ分析における課題

１．ログがS3バケットに細かい単位で出力されたり、APIを利用しないと取得

できないログがある。

２．ログがJSON形式で記録されるため、そのままでは使えない。

３．CloudTrail に記録されるログの種類が多岐に渡り、どのようにログを監査

したらよいかわからない。

４．AWSサービスのリリーススピードが速いため、上記の課題に対して継続的

に対応していかなければならない。

５．AWSサービスの意図しない動作もあり、それを回避する仕組みも一部必要。

AWSのログ関連サービスに対応する

ログ管理システムのニーズが高まっている

AWS上のログ分析における課題

「統合ログ管理」と「SIEM」

SIEM (Security Information & Event Management)

統合ログ管理（監査）

SIEM（SOC）

… SIEMと言えばリアルタイムのセキュリティイベント検知を主眼にしたツールを指し、統合ログ管

理ツールとは別ジャンルとされることが多い。ログの蓄積と分析に重きを置くのが統合ログ管理ツー

ル（現在は国産製品が中心に導入が進んでいる）であり、標的型攻撃など新しい脅威への対策に有効

だが長期にわたる時間軸での分析には向かないのが、現在海外製品を中心に注目されているSIEMツー

ルと考えればよいだろう。

キーマンズネット「不正行為も一目瞭然！統合ログ管理ツール」 URL : http://www.keyman.or.jp/at/30006863/

統合ログ管理システム「Logstorage」と

統合ログ管理システム「Logstorage」

「Logstorage」とは

出典：ミック経済研究所「情報セキュリティソリューション市場の 現状と将来展望2015(統合ログ管理市場)」

9年連続市場シェアNo.1

1,900社への導入実績

Logstorage

46.8%

あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理シス

テムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視、業務効率改

善など、多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。

機能・システム構成

ログ収集機能

[受信機能]

・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]

・Agent

・EventLogCollector

・SecureBatchTransfer

ログ保管機能

ログ検知機能

検索・集計・レポート機能

・ポリシーに合致したログのアラート

・ポリシーはストーリー的に定義可能(シナリオ検知)

・ログの圧縮保存／高速検索

・ログの改ざんチェック機能

・ログに対する意味（タグ）付け

・ログの暗号化保存

・保存期間を経過したログを自動アーカイブ

・ログの保存領域管理機能

・ログの検索／集計／レポート生成

・検索結果に対する、クリック操作による絞込み

・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)

・レポートの出力形式のカスタマイズ

<Logstorage システム構成>

［OSシステム・イベント］

・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD

［Web/プロキシ］

・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus

［ネットワーク機器］

・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・FortiGate ・BIG-IP ・IronPort ・ServerIron ・Proventia

［クライアント操作］

・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・IVEX Logger ・秘文 ・SeP ・QND/QOH

［データベース］

・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL

［サーバアクセス］

・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control

［データベース監査］

・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium

［メール］

・MS Exchange ・sendmail ・Postfix ・qmail ・Exim

［ICカード認証］

・SmartOn ・ARCACLAVIS Revo

_{［その他］}

・AWS CloudTrail ・AWS Config

・AWS CloudWatch Logs ・VMware vCenter ・SAP R/3 (ERP) ・NetApp (NAS) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server …その他

［運用監視］

・Nagios ・JP1 ・Systemwalker ・OpenView

［アンチウィルス］

・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris

［Lotus Domino］

・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher

［複合機］

・imageRunner ・Apeos ・SecurePrint!

ログ収集実績／連携製品

日本国内で利用されているソフトウェア・機器を中心に

250種以上

のログ収集実績

Amazon Web Service

SKYSEA Client View

LanScope Cat

SecureCube / AccessCheck

CWAT

Sendmail

InfoTrace

Auge AccessWatcher

MylogStar

IVEX Logger シリーズ

i-FILTER

MaLion3

SecurePrint!

VISUACT

Chakra

File Server Audit

SSDB監査

監査れポータル

AUDIT MASTER

PISO

Palo Alto Networks next-generation firewalls

AWSに特化した『Logstorage for AWS』

Logstorage for AWSは、AWS上で生成されるあらゆるログデータを「収集・解析」「保管」「検索・分析」「レポー

ト」するための、統合ログ管理ツールです。 AWS上のリソースのライフサイクルの管理、コンプライアンス準拠、セ

キュリティ分析、運用上のトラブルシューティングなど、幅広く活用することができます。

収集・解析

保管

・ログの圧縮保存／高速検索機能

・ログの暗号化／改ざんチェック機能

・ログの自動アーカイブ機能

検索・分析

・ログの検索／集計／レポート

・検索結果からクリック操作による絞込み

・レポートの定期自動出力

・AWSの各サービスからのログ自動収集

・JSON形式のログの解析／変換

AWS上のログの活用

- AWS CloudTrail

- AWS Config

- Amazon CloudWatch Logs

- Billing

AWS CloudTrail

AWS CloudTrail は、アカウントの AWS API の呼び出しを記録し、ログファイルを送信するウェブ

サービスです。記録される情報には、API 呼び出し元の ID、API 呼び出し元のソース IP アドレス、

リクエストのパラメータ、および AWS サービスから返された応答の要素が含まれます。

CloudTrail を使用すると、アカウントの AWS API の呼び出し履歴を取得できます。履歴には、AWS

マネジメントコンソール、AWS SDK、コマンドラインツールを使用した API の呼び出しが含まれま

す。

https://aws.amazon.com/jp/cloudtrail/

Logstorage for AWS でのログ収集方式

AWS CloudTrail とは

(収集方式1)

AWS CloudTrail ログのモニタリング観点

Logstorage for AWS – CloudTrail レポート例

・CloudTrail の停止／削除／設定変更

・EC2の作成／意図しないEC2のTerminate

・ユーザアカウントの作成

・IAMポリシーの付与／削除

・AWS Management Consoleログイン

・NetWorkACLの変更／ポートの解放

・Security Groupの変更／ポートの解放

・ネットワーク構成の変更

・意図しない接続元からのアクセス

・特権ユーザでのアクセス

・許可されていない権限のアクセス

………

基準

ルール

突合せ

レポート例

承認されていないインスタンス

の生成・起動は無いか

誤ったインスタンスの

_{停止は無いか}

管理コンソールに、不正に

アクセスされていないか

誤ったインスタンスの

削除は無いか

レポート例

誤ってオブジェクトが削除

されていないか

承認されていないオブジェクト

が生成されていないか

不明な接続元は無いか?

承認されていないユーザから

のアクセスは無いか

AWS上のログの活用

- AWS CloudTrail

- AWS Config

- Amazon CloudWatch Logs

- Billing

AWS Config Partner - Logstorage

AWS Config Partner / AWS Official Blog にて紹介

AWS Config

AWS Config とは、セキュリティとガバナンスを可能にする

構成変更の通知

、

構成履歴

、

AWS リソ

ースのインベントリー

をお客様へ提供する完全マネージド型のサービスです。AWS Config から、既

存の AWS リソースの検出、設定の詳細をすべて含めたお客様の AWS リソース一覧表のエクスポー

トが可能となり、どの時点でどのようにリソースが設定されたかを確認できます。これらの機能は、

コンプライアンス監査、セキュリティ分析、リソース変更の追跡、トラブルシューティングを可能に

します。

https://aws.amazon.com/jp/config/

Logstorage for AWS でのログ収集方式

AWS Config とは

構成スナップショットレポートサンプル（開発中）

リソース関連図レポート

スナップショットをわかりやすく図示

一目でAWSの構成が把握可能

構成スナップショットレポートサンプル（開発中）

構成スナップショットレポートサンプル（開発中）

リソース関連図レポートに出力可能なオブジェクト

分類

オブジェクト

Amazon EC2

EC2インスタンス

EC2 Network Interface

EC2 Elastic IP

Amazon VPC

カスタマーゲートウェイ

インターネットゲートウェイ

ルートテーブル

サブネット

VPC

VPNゲートウェイ

VPN接続

Amazon EBS

汎用(SSD)ボリューム

プロビジョンド IOPS(SSD)ボリューム

マグネティックボリューム

RDS / ELB /

Auto Scalingグループは?

AWS上のログの活用

- AWS CloudTrail

- AWS Config

- Amazon CloudWatch Logs

Amazon CloudWatch Logs

Amazon CloudWatch Logs を使用して、Amazon Elastic Compute Cloud (Amazon EC2) イン

スタンス、AWS CloudTrail、またはその他のソースのログファイルの監視、保存、アクセスがで

きます。その後、Amazon CloudWatch コンソール、AWS CLI の CloudWatch Logs コマンド、

CloudWatch Logs API、または CloudWatch Logs SDK を使用して、CloudWatch Logs から関

連ログデータを取得できます。

Logstorage for AWS でのログ収集方式

Amazon CloudWatch Logs とは

http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatchLogs.html

Amazon CloudWatch Logs ログのモニタリング

Amazon CloudWatch Logs ログのモニタリング観点

・通信のACCEPT/REJECT

・REJECTされたプロトコル

・REJECTされた接続元IPアドレス

・REJECTされた通信／ポート

・時系列での通信バイト数（全体・Interface毎）

・時系列での通信パケット数（全体・Interface毎）

基準

ルール

過去の

利用状況

突合せ

・イベントログの消去

・権限昇格履歴

・システム時刻変更

・管理者権限の操作

・パスワード変更履歴

・ログイン成功／失敗

・監査ポリシー変更履歴

………

【Windows/Linux】

【VPC Flow Logs】

突合せ

※その他、各種テンプレートの利用が可能

VPC Flow Logs レポート例／REJECT

どのような通信先/ポートに

REJECTされた通信があったか

REJECTされた通信

の接続元は?

REJECTされた通信のプロトコルは?

(1-ICMP / 6-TCP / 17-UDP)

REJECTされた通信

ACCEPT/REJECTの比率は?

(REJECT通信が異常に多く無いか)

VPC Flow Logs レポート例／通信量

全体の通信バイト数

（時系列）

全体の通信パケット数

（時系列）

Network-Interface毎の

通信バイト数

（時系列）

Network-Interface毎の

通信パケット数

（時系列）

AWS上のログの活用

- AWS

CloudTrail-- AWS Config

- Amazon CloudWatch Logs

Billing ログ分析 【Logstorage for AWS 新機能】

AWSの利用料金をサービス毎に可視化

AWSのBillingデータを利用し、利用金額の観点から、AWSサ

ービスの利用状況を把握する。

・既に利用していないサービスで料金が発生していないか把

握し不要なサービスを止める。

・インスタンスタイプ毎の利用コストを把握し、リザーブド

インスタンスに変更する。

・部署／ユーザ単位での利用金額を把握し、適切な費用配賦

を行う。

Logstorage for AWS 導入事例

[事例1] cloudpack(アイレット株式会社)様

[事例2] サイトロック株式会社様

[事例1] cloudpack(アイレット株式会社)様

ログ収集対象

ルータ

スイッチ

認証サーバ

踏み台サーバ

NATインスタンス

セキュリティ端末

その他、セキュリティ管理サーバ

全顧客の AWS CloudTrail ログ

全顧客の AWS Config ログ

ログ収集対象

Logstorage導入目的

・各種セキュリティ認証の取得

(PCI DSS / ISO27001)

・SOC2 への取り組み

・上記への対応を通じ、セキュリティ

への取り組みについて客観的な評価

に基づく透明性の確保、高度なセキ

ュリティ体制の実現

認証サーバ Logstorage

その他

管理サーバ

踏み台

サーバ

社内インフラVPC

ルータ

VPN装置

閉塞網

Internet

セキュリティ端末

東京拠点

ルータ

東品川データセンター

Direct Connect

(専用線接続)

セキュリティ

ネットワーク

Customer

gateway

Logstorage導入環境

[事例1] cloudpack様のコメント

○SOC 2報告書

【S3 Put Eventを利用したCloudTrailログの収集】

【PCI DSSレポートテンプレート（一部）】

○PCI DSS認証

『無償で提供されるLogstorageのPCI DSSテンプレートに

は、テンプレートが対応するPCI DSS要件番号が記載され

ており、監査がスムーズに進んだ』

『Logstorageは、PCI DSSで求められるログの暗号化と改

ざん検出に標準機能で対応しており、別の製品と組み合わ

せる必要なく対応できた』

『結果、PCI DSS認証取得において、ログに関する指摘事

項は無かった』

『Logstorageを利用したログの一元管理はSOC2対応でも

踏襲した。AWSを対象としたフルマネージドサービス事業

で、国内で初めてSOC 2報告書を受領した。』

『LogstorageはAMIでも提供されるため、インストールには殆ど手間が掛からなかった』

『多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対

応は助かった。』

[事例2] サイトロック株式会社様

2015年9月10日より

サービス開始

[事例3] インフォサイエンス株式会社

Console

LogGate

運用担当者

操作端末

Gateway

Manager

EC2インスタンス

LogGate

VPN

connection

お客様A EC2インスタンス お客様B

インフォサイエンス データセンター

お客様サーバ

（運用監視対象サーバ）

ログ ログ ログデータ連携

監査担当者

操作端末

・データセンター内のサーバ、及びAWS上のEC2インスタンスに対するメンテ

ナンスは、全てAccessCheck上での申請・承認を経て、AccessCheckのゲー

トウェイ経由でアクセスする。

⇒ 承認が無いアクセスは許可しない

・データセンターのサーバ、ネットワーク機器、AccessCheck、及びAWS上の

EC2インスタンスのログをLogstorageに収集・統合管理し、日次で監査。

⇒ AccessCheckゲートウェイを経由しない、違反アクセスなども監査

・データセンター内のログと、AWS上のログを統合管理し、1つのLogstorage

コンソールにて透過的にログを監査する。

⇒ ハイブリッド環境においても、ログの監査を容易に

Logstorage + AccessCheck によるハイブリッド環境

でのアクセス管理・ログ管理

インフォサイエンス株式会社が提供する「包括的システム運用サービス」。 SecureCube AccessCheck + Logstorageを導入する事で、インフォサイエンスが

自社データセンター内で預かるお客様サーバ、及びAWS上のEC2インスタンス等の運用をより安全に、セキュアに行うことで、各種コンプライアンス要求に対応

ログ

Firewall

ログ Firewall /VPN AccessCheck

お問い合わせ先

www.logstorage.com

試用版のお申込み

Logstorage

http://www.logstorage.com/trial/ami_trial.html

http://www.logstorage.com/

インフォサイエンス株式会社

プロダクト事業部

TEL 03-5427-3503 FAX 03-5427-3889

mail : info@logstorage.com

Logstorage に関するお問い合わせ

Logstorage for AWS

http://www.logstorage.com/aws/

・LogstorageによるPCI DSS要件10への対応例

・Logstorageによる制御システムセキュリティ対策

・標的型メール攻撃 分析・監視例

・突合レポートテンプレート

・マイナンバー対策で求められる 現実的なログ管理

・ストレージのアクセス監査から始める統合ログ管理

・統合ログ管理によるIT統制の実現とその具体的事例

… その他、50を超える参考資料・情報を公開中！

ログ管理資料

http://www.logstorage.com/product/product_materials.html

http://www.logstorage.com/seminar/materials.html

AWS Test Drive プログラム

URL:

http://aws.amazon.com/jp/testdrive/japan/security/

AWS Test Drive は、事前設定済みのアプリケーション動作環境を

提供するサービス。

ユーザアカウントを登録することにより、Logstorage for AWS を

無料で、シナリオに沿って試用する事ができる。

END

『統合ログ管理システム「Logstorage」によるAWSシステムの監査・可視化』

2015/9/16

インフォサイエンス株式会社 プロダクト事業部

稲村 大介