Infoscience Corporation
www.infoscience.co.jp info@logstorage.com Tel: 03-5427-3503 Fax: 03-5427-3889インフォサイエンス株式会社
プロダクト事業部
統合ログ管理システム「Logstorage」による
AWSシステムの監査・可視化
Contents
1. AWSにおけるログ管理
2. 統合ログ管理システム「Logstorage」と
「Logstorage for AWS」
3. AWS上のログの活用
- AWS CloudTrail
- AWS Config
- Amazon CloudWatch Logs
- Billing
4. Logstorage for AWS 導入事例
- cloudpack(アイレット株式会社)様
- サイトロック株式会社様
設立
1995年10月
代表者
宮 紀雄
事業内容
•パッケージソフトウェア「Logstorage」シリーズの開発
•データセンタ運営
•受託システム開発サービス
•包括システム運用サービス
所在地
東京都港区芝浦2丁目4番1号 インフォサイエンスビル
<開発から運用までの業務フェーズ概要>
システム運用から生まれたパッケージソフトウェア
インフォサイエンス株式会社
ログ管理の目的
個人情報保護法
プライバシーマーク
ISO27001/ISMS
経産省/クラウドセキュリティガイドライン
国際ペイメントブランド/PCI DSS
APT/標的型攻撃
情報漏洩(内部犯行)
サイバー犯罪捜査
様々なルールや脅威への対応のために、ログの管理が行われている
金融商品取引法
不正アクセス禁止法
「ログ」の管理・モニタリングは、今や
情報セキュリティの中心的な対策となっている
マイナンバー/番号法
AWS上のログ取得のポイント
AWS上に点在するログと取得サービス
VPC subnet
Network ACL
Security Group
EC2
RDS
ELB
・・・
Management
Console
AWSサービスに対するアクセスログを記録
AWS CloudTrail
AWS CLI
AWS SDK
Applications
AWS Config
AWSサービスの構成変更ログを記録
AWS CloudWatch Logs
EC2インスタンス内のアクセスログを記録
AWS CloudWatch Logs (VPC Flow Logs)
Network ACL / Security Group の通信ログを記録
例)AWS利用グループ,ユーザの作成/削除/権限変更
EC2インスタンスの作成/停止/削除
AWS管理画面(Management Console)へのログイン
例)EC2インスタンスタイプの変更
AIMロールの変更
例)Windowsイベントログ
Linux syslog (/var/log/ 配下のログ等)
その他、テキストログ
・Network Interface単位でのACCEPT/REJECTログ
左記のサービスのログにより、AWS
上のあらゆるアクティビティの監査
AWS上のログ分析における課題
1.ログがS3バケットに細かい単位で出力されたり、APIを利用しないと取得
できないログがある。
2.ログがJSON形式で記録されるため、そのままでは使えない。
3.CloudTrail に記録されるログの種類が多岐に渡り、どのようにログを監査
したらよいかわからない。
4.AWSサービスのリリーススピードが速いため、上記の課題に対して継続的
に対応していかなければならない。
5.AWSサービスの意図しない動作もあり、それを回避する仕組みも一部必要。
AWSのログ関連サービスに対応する
ログ管理システムのニーズが高まっている
AWS上のログ分析における課題
「統合ログ管理」と「SIEM」
SIEM (Security Information & Event Management)
統合ログ管理(監査)
SIEM(SOC)
… SIEMと言えばリアルタイムのセキュリティイベント検知を主眼にしたツールを指し、統合ログ管
理ツールとは別ジャンルとされることが多い。ログの蓄積と分析に重きを置くのが統合ログ管理ツー
ル(現在は国産製品が中心に導入が進んでいる)であり、標的型攻撃など新しい脅威への対策に有効
だが長期にわたる時間軸での分析には向かないのが、現在海外製品を中心に注目されているSIEMツー
ルと考えればよいだろう。
キーマンズネット「不正行為も一目瞭然!統合ログ管理ツール」 URL : http://www.keyman.or.jp/at/30006863/統合ログ管理システム「Logstorage」と
統合ログ管理システム「Logstorage」
「Logstorage」とは
出典:ミック経済研究所「情報セキュリティソリューション市場の 現状と将来展望2015(統合ログ管理市場)」9年連続市場シェアNo.1
1,900社への導入実績
Logstorage
46.8%
あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理シス
テムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視、業務効率改
善など、多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。
機能・システム構成
ログ収集機能
[受信機能]
・Syslog / FTP(S) / 共有フォルダ / SNMP
[ログ送信・取得機能]
・Agent
・EventLogCollector
・SecureBatchTransfer
ログ保管機能
ログ検知機能
検索・集計・レポート機能
・ポリシーに合致したログのアラート
・ポリシーはストーリー的に定義可能(シナリオ検知)
・ログの圧縮保存/高速検索
・ログの改ざんチェック機能
・ログに対する意味(タグ)付け
・ログの暗号化保存
・保存期間を経過したログを自動アーカイブ
・ログの保存領域管理機能
・ログの検索/集計/レポート生成
・検索結果に対する、クリック操作による絞込み
・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)
・レポートの出力形式のカスタマイズ
<Logstorage システム構成>
[OSシステム・イベント]
・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD[Web/プロキシ]
・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus[ネットワーク機器]
・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・FortiGate ・BIG-IP ・IronPort ・ServerIron ・Proventia[クライアント操作]
・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・IVEX Logger ・秘文 ・SeP ・QND/QOH[データベース]
・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL[サーバアクセス]
・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control[データベース監査]
・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium[メール]
・MS Exchange ・sendmail ・Postfix ・qmail ・Exim[ICカード認証]
・SmartOn ・ARCACLAVIS Revo[その他]
・AWS CloudTrail ・AWS Config・AWS CloudWatch Logs ・VMware vCenter ・SAP R/3 (ERP) ・NetApp (NAS) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server …その他
[運用監視]
・Nagios ・JP1 ・Systemwalker ・OpenView[アンチウィルス]
・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris[Lotus Domino]
・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher[複合機]
・imageRunner ・Apeos ・SecurePrint!ログ収集実績/連携製品
日本国内で利用されているソフトウェア・機器を中心に
250種以上
のログ収集実績
Amazon Web Service
SKYSEA Client View
LanScope Cat
SecureCube / AccessCheck
CWAT
Sendmail
InfoTrace
Auge AccessWatcher
MylogStar
IVEX Logger シリーズ
i-FILTER
MaLion3
SecurePrint!
VISUACT
Chakra
File Server Audit
SSDB監査
監査れポータル
AUDIT MASTER
PISO
Palo Alto Networks next-generation firewalls
AWSに特化した『Logstorage for AWS』
Logstorage for AWSは、AWS上で生成されるあらゆるログデータを「収集・解析」「保管」「検索・分析」「レポー
ト」するための、統合ログ管理ツールです。 AWS上のリソースのライフサイクルの管理、コンプライアンス準拠、セ
キュリティ分析、運用上のトラブルシューティングなど、幅広く活用することができます。
収集・解析
保管
・ログの圧縮保存/高速検索機能
・ログの暗号化/改ざんチェック機能
・ログの自動アーカイブ機能
検索・分析
・ログの検索/集計/レポート
・検索結果からクリック操作による絞込み
・レポートの定期自動出力
・AWSの各サービスからのログ自動収集
・JSON形式のログの解析/変換
AWS上のログの活用
- AWS CloudTrail
- AWS Config
- Amazon CloudWatch Logs
- Billing
AWS CloudTrail
AWS CloudTrail は、アカウントの AWS API の呼び出しを記録し、ログファイルを送信するウェブ
サービスです。記録される情報には、API 呼び出し元の ID、API 呼び出し元のソース IP アドレス、
リクエストのパラメータ、および AWS サービスから返された応答の要素が含まれます。
CloudTrail を使用すると、アカウントの AWS API の呼び出し履歴を取得できます。履歴には、AWS
マネジメントコンソール、AWS SDK、コマンドラインツールを使用した API の呼び出しが含まれま
す。
https://aws.amazon.com/jp/cloudtrail/
Logstorage for AWS でのログ収集方式
AWS CloudTrail とは
(収集方式1)
AWS CloudTrail ログのモニタリング観点
Logstorage for AWS – CloudTrail レポート例
・CloudTrail の停止/削除/設定変更
・EC2の作成/意図しないEC2のTerminate
・ユーザアカウントの作成
・IAMポリシーの付与/削除
・AWS Management Consoleログイン
・NetWorkACLの変更/ポートの解放
・Security Groupの変更/ポートの解放
・ネットワーク構成の変更
・意図しない接続元からのアクセス
・特権ユーザでのアクセス
・許可されていない権限のアクセス
………
基準
ルール
突合せ
レポート例
承認されていないインスタンス
の生成・起動は無いか
誤ったインスタンスの
停止は無いか
管理コンソールに、不正に
アクセスされていないか
誤ったインスタンスの
削除は無いか
レポート例
誤ってオブジェクトが削除
されていないか
承認されていないオブジェクト
が生成されていないか
不明な接続元は無いか?
承認されていないユーザから
のアクセスは無いか
AWS上のログの活用
- AWS CloudTrail
- AWS Config
- Amazon CloudWatch Logs
- Billing
AWS Config Partner - Logstorage
AWS Config Partner / AWS Official Blog にて紹介
AWS Config
AWS Config とは、セキュリティとガバナンスを可能にする
構成変更の通知
、
構成履歴
、
AWS リソ
ースのインベントリー
をお客様へ提供する完全マネージド型のサービスです。AWS Config から、既
存の AWS リソースの検出、設定の詳細をすべて含めたお客様の AWS リソース一覧表のエクスポー
トが可能となり、どの時点でどのようにリソースが設定されたかを確認できます。これらの機能は、
コンプライアンス監査、セキュリティ分析、リソース変更の追跡、トラブルシューティングを可能に
します。
https://aws.amazon.com/jp/config/
Logstorage for AWS でのログ収集方式
AWS Config とは
構成スナップショットレポートサンプル(開発中)
リソース関連図レポート
スナップショットをわかりやすく図示
一目でAWSの構成が把握可能
構成スナップショットレポートサンプル(開発中)
構成スナップショットレポートサンプル(開発中)
リソース関連図レポートに出力可能なオブジェクト
分類
オブジェクト
Amazon EC2
EC2インスタンス
EC2 Network Interface
EC2 Elastic IP
Amazon VPC
カスタマーゲートウェイ
インターネットゲートウェイ
ルートテーブル
サブネット
VPC
VPNゲートウェイ
VPN接続
Amazon EBS
汎用(SSD)ボリューム
プロビジョンド IOPS(SSD)ボリューム
マグネティックボリューム
RDS / ELB /
Auto Scalingグループは?
AWS上のログの活用
- AWS CloudTrail
- AWS Config
- Amazon CloudWatch Logs
Amazon CloudWatch Logs
Amazon CloudWatch Logs を使用して、Amazon Elastic Compute Cloud (Amazon EC2) イン
スタンス、AWS CloudTrail、またはその他のソースのログファイルの監視、保存、アクセスがで
きます。その後、Amazon CloudWatch コンソール、AWS CLI の CloudWatch Logs コマンド、
CloudWatch Logs API、または CloudWatch Logs SDK を使用して、CloudWatch Logs から関
連ログデータを取得できます。
Logstorage for AWS でのログ収集方式
Amazon CloudWatch Logs とは
http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatchLogs.html