企業に求められるログ管理(2)〜ログ管理の課題と解決策〜

　近年、企業の内部統制への関心の高まりからログが注目を集めている。そこでログとは何か、ログで何が分かるのか、ログの必要性をもう一度振り返り、更に、大量のログを有効活用することが可能となる統合ログ管理製品のそれぞれの特徴を3回にわたって解説する。

●ログ管理の課題

　システム障害に対応するだけならば、ログをどこかのログサーバに集約保存し、grepのような仕組みで障害情報を自動切り出しするという単純なログ管理だけで十分だった。そもそも障害が発生しなければ、ログを見る機会もそれほど多くない。原因が機器の故障であれば、それ以上原因を追究したり分析する必要もない。

　しかし、ログ取得の目的が広がるとともに、これまで取得しなくてもよかったさまざまなログを取得しなければならなくなり、単純に管理すべきログの総量が増大してきているという問題がある。そのため、大量のログをかき集めたはいいものの、そのまま有効活用されずに削除されてしまったりして、後から何かを調査しようとしても、思うようにならないケースもままある。

　加えて、ログの内容から、その妥当性を人間の手で判断する必要が出てきたため、豊富な経験と技術を持ったオペレータが必要となるばかりか、場合によっては情報システム部門の範囲を飛び越えた判断が必要となることも考えられる。

　情報システムの業務における比重が増大した結果として、これはある意味当然のことともいえる。

●統合ログ管理ソリューション

　これを解決する手段として注目を浴びているのが統合ログ管理と呼ばれる分野の製品である。

　統合ログ管理製品の特長は下記のようなものだ。

(1)ログを収集し、統合する

　syslog などの一般的な形式であればあまり気にしなくて良いが、世の中にあるさまざまなログの形式に対応するため、いろいろな方法でログをかき集めてくる機能が必要とされる。従来のsyslog収集パターン以外に、サーバにエージェントをインストールしたり、ログ集約サーバから対象機器にログインしてログファイルを取得するといったインプットパターンが考えられる。

(2)ログの検索

　期間、対象機器、特定の単語などの条件をベースに、膨大なログの中から必要な情報を絞り込む仕組みを持つ。

(3)ログの分析

　ハードウェアの故障は「ある機器のある部位」といった、すなわち一箇所で発生する。しかし、「Webサーバを経由したSQLインジェクションによりデータベースに不正アクセスする」といったケースではどうだろう。その不正アクセスはファイアウォールを通過し、Webサーバを通り抜け、アプリケーションサーバに送られ、最終的にデータベースにたどり着くと考えた場合、複数のシステムコンポーネントに関連する情報が蓄積されていると思われる。単純にデータベースが書き換えられたという事象を目にしただけでは、「だれが、どうやって」それを行ったのかといった調査・究明は困難である。不正アクセスの実態を知るためには、ひとつのインシデントを多角的に分析し、関連する情報を迅速に集めるための仕組みがあるとよい。

(4)レポート機能

　ある期間内のログを集計し…

【執筆：NTTデータ・セキュリティ株式会社 CISSP 天野　寛生】

【関連記事】
企業に求められるログ管理(1)〜ログ取得の目的とは〜
https://www.netsecurity.ne.jp/7_12899.html

【関連リンク】
NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec