[技術解説]

統合ログ管理の最新動向 - 賢いセキュリティ対策 Part5

2009年5月26日(火)

散在するログを横串で分析可能に 発見的統制の基盤として活用 有事の際、ログデータは原因追及の手がかりとして大いに有効だ。しかし、一元管理できていなければ、迅速で多面的な分析はできない。そこで注目を集めるのが、複数の機器を対象に、ログを収集/蓄積/分析できる統合ログ管理ツールだ。

コンピュータ機器が、自身の動作内容や警告メッセージを記録するログファイル。障害が起こった時には、そのログファイルをたどることで、何が起きたかの見当を付けることができる。OSが出力するログもあれば、アプリケーションやデータベース、機器内蔵のファームウエアが出力するログもある。メインフレームやサーバー、クライアントPC、ネットワーク機器など、企業情報システムは様々なハード/ソフトで構成されており、これまで多くの企業は社内のあちこちにログを偏在させている状況にあった。

個別にログを記録している場合は、「情報漏洩などの問題が露呈した時になってはじめて、あちこちからログをかき集めて原因追及するケースが少なくなかった」(RSAセキュリティの轡田拓也・エンタープライズ営業本部シニアマネジャー)。プレーンテキストのログもあれば、バイナリ形式で専用ツールがなければ内容を確認できないログもあり、細かな分析を加えるには多くの手間と時間がかかった。

こうした状況を抜本から解決するものとして期待されているのが統合ログ管理ツールだ。情報システムを構成するハード/ソフトのログを集約して一元管理し、すべて横串にした分析を可能とする(図5-1)。統合ログ管理は、米国では「SIEM(Security Information and Event Management)」と呼ばれる。SIMとSEMという2つの製品分野が統合してきた動きを受けてのものだ(図5-2)。ログの収集-蓄積-分析を一貫して支援する基盤として期待が集まる。

図5-1 統合ログ管理ツールの特徴
図5-1 統合ログ管理ツールの特徴(図をクリックで拡大)
図5-2 統合ログ管理ツールの発展の経緯
図5-2 統合ログ管理ツールの発展の経緯
RSAセキュリティのアプライアンス製品「enVison」の分析画面例
RSAセキュリティのアプライアンス製品「enVison」の分析画面例

集約/蓄積の方法に違い
まずは自社の目的を明確に

表5-1に、主要な統合ログ管理製品の概要をまとめた。ログの収集方式、圧縮などの蓄積機能、分析のバリエーションなどで各製品の特徴が出る。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

関連記事

統合ログ管理の最新動向 - 賢いセキュリティ対策 Part5散在するログを横串で分析可能に 発見的統制の基盤として活用 有事の際、ログデータは原因追及の手がかりとして大いに有効だ。しかし、一元管理できていなければ、迅速で多面的な分析はできない。そこで注目を集めるのが、複数の機器を対象に、ログを収集/蓄積/分析できる統合ログ管理ツールだ。

PAGE TOP