PR
統合ログ管理の最新動向 - 賢いセキュリティ対策 Part5
コンピュータ機器が、自身の動作内容や警告メッセージを記録するログファイル。障害が起こった時には、そのログファイルをたどることで、何が起きたかの見当を付けることができる。OSが出力するログもあれば、アプリケーションやデータベース、機器内蔵のファームウエアが出力するログもある。メインフレームやサーバー、クライアントPC、ネットワーク機器など、企業情報システムは様々なハード/ソフトで構成されており、これまで多くの企業は社内のあちこちにログを偏在させている状況にあった。
個別にログを記録している場合は、「情報漏洩などの問題が露呈した時になってはじめて、あちこちからログをかき集めて原因追及するケースが少なくなかった」(RSAセキュリティの轡田拓也・エンタープライズ営業本部シニアマネジャー)。プレーンテキストのログもあれば、バイナリ形式で専用ツールがなければ内容を確認できないログもあり、細かな分析を加えるには多くの手間と時間がかかった。
こうした状況を抜本から解決するものとして期待されているのが統合ログ管理ツールだ。情報システムを構成するハード/ソフトのログを集約して一元管理し、すべて横串にした分析を可能とする(図5-1)。統合ログ管理は、米国では「SIEM(Security Information and Event Management)」と呼ばれる。SIMとSEMという2つの製品分野が統合してきた動きを受けてのものだ(図5-2)。ログの収集-蓄積-分析を一貫して支援する基盤として期待が集まる。
集約/蓄積の方法に違い
まずは自社の目的を明確に
表5-1に、主要な統合ログ管理製品の概要をまとめた。ログの収集方式、圧縮などの蓄積機能、分析のバリエーションなどで各製品の特徴が出る。
例えば収集方式を例にとると、アプリケーションサーバーなど、対象とする機器にエージェントと呼ぶ常駐モジュールを導入してログデータを自動収集するものが多い。メジャーなOS/アプリケーションについてはエージェントがあらかじめ用意されているが、手組みのシステムについては個別のカスタマイズが生じる場合もある。また、エージェントを介さず、ログデータの形式変換などをすべて中央集中型で処理する製品も出始めた。統合ログ管理ツールを導入する際には、どのログを収集・分析対象とし何をしたいかを事前にしっかりと定義し、それにふさわしい機能を備える製品を選択することが基本となる。
Part4で見た統合ID管理を「予防的統制」と位置付けるなら、統合ログ管理の分析機能は「発見的統制」ととらえられる。ログを一元的に蓄積できているということだけに満足せず、定期的にチェックするなどの積極的なアクションを習慣づけるのが望ましい。統合することで軽減できる人的リソースの負担(=コスト)を攻めのログ管理に振り向け、内部統制の基盤として活用することはもちろん、怪しげな挙動に即座に手を打てる体制を整えるのが理想だ。
本誌は、読者登録いただくことにより、毎月無料でみなさまのお手元まで直接お届けいたします(書店などでは販売していません)。
企業の情報システムを担当する方々や事業部門のIT担当の方々、およびIT関連プロフェッショナルの方々を対象に、実践的に役立つ情報を掲載、幅広く業務にご活用いただけます。
- データセンター見積もりは「DC完全ガイド」
最新iDCやテクノロジ・製品情報が満載。iDC事業者・サービスカタログで見積もり資料請求にも対応 - レンタルサーバー比較検索「RS完全ガイド」
共用・専用・VPS、国内1600以上のレンタルサーバー/ホスティングから最適なサービスを比較検索 - クラウド比較検索「クラウドサービス完全ガイド」
企業に役立つクラウド関連記事、製品・サービス情報
