統合ログ管理ツールで不正行為も一目瞭然：IT導入完全ガイド（5/5 ページ）

[土肥正弘，ドキュメント工房]

必要なログの種類と保存期間を考えて最適なスケールにする

　社内システムやネットワーク全てのログを統合管理しようとするとデータ量が巨大すぎてストレージコストや検索時間が現実的でなくなる。管理目的に沿って必要なログを絞り、管理対象のログ出力に適切なパラメータ設定を行いできるだけ少ないデータ量で必要な情報が得られるようにしたい。

　また、監査に必要な期間のログに限定してログ管理システムを設計する。古いデータは切り離して別媒体に保管し、必要になったらリストアして利用する使い方が一般的だ。時間軸でのアーカイブと再利用の難易度は製品により違うので確認したい。

必要なログ形式に対応できるかを検討しよう

　UNIXやLinux系システムやネットワーク機器はsyslog形式に、Windows系システムではイベントログ形式に対応する必要がある。それ以外に機器やソフトウェア独自のログ形式があるので、管理対象のログのバリエーションを洗い出しておかなければならない。

　標準で対応するテンプレートがある製品が望ましいが、付属機能で簡単に連携法を定義できるものもある。連携構築はコストも人的リソースも割かれる部分なので気を付けて調べたい。

ISMSやPCI DSSなどの認証制度への対応を調べよう

　ISMSやPCI DSSなどのセキュリティ認証制度への適合（認証取得）を図るには、それぞれの認証基準やガイドラインにのっとった監査方法が効率的に実現できる製品が望ましい。

　例えば、PCI DSSでは全てのアクセスを個人ユーザーとひも付けて管理する必要があるが、それには図7のようにユーザー、MACアドレスマスター、共通IDマスター、DHCPリソース履歴データ、申請／承認データを連携させ、「いつ誰が何をしたか」が簡単に把握できるようにする必要がある。

　その他にもデータの暗号化や改ざん防止、3カ月から1年のオンライン閲覧などが求められる。認証制度対応のための監査用テンプレートやソリューションが提供されている場合があるので、確認するとよいだろう。

図8 PCI DSSの要件への適合を図る場合の画面の例（出典：インフォサイエンス）

コラム：ありがちな失敗例

　統合ログ管理システムのネックは何といってもデータ量の膨大さ。データ量ベースで料金が決まるライセンスの場合は、導入検討時に十分と思ったデータ量が運用開始後に大きく増加することがあり得るため、正確な試算をしておかなければ予想外の高額になることもある。

　監視対象数に応じた料金体系の場合は、サーバの増加やクライアント端末の管理範囲の考え方によりコストが変動する。

　なお、本当は不要なログ種類を対象にしたり、余裕をみようとオンライン保管期間を長く設定したりすると、無駄にストレージを食い、検索スピードを落とすことにつながる。比較検討時に管理対象と必要とするログ種類、保存期間などの要件をまとめた上で見積もりや提案を求めるとよい。適切な規模での導入、運用を行うことがポイントだ。