企業のログ管理はクラウド版や無償ツールの登場でどう変わる？：IT導入完全ガイド（6/6 ページ）

[土肥正弘，ドキュメント工房]

オンプレミス構築かSaaSか

　SaaS型のサービス利用なら初期投資が少なくて済むが、長期にわたって運用を続ける場合にはオンプレミス構築のほうがランニングコストが低いので有利……というのは当然の話。どれだけ長く使えるかというのは1つの選択ポイントになりそうだ。ちなみに、法令が要請するログ保管期間はそれほど長くはない。

PCI/DSSの場合

　最低3カ月、1年程度の保管を推奨。

J-SOX（金融商品取引法）の場合

　特に記載はないが、内部統制に関わる書類は5年間の保存義務。

NIST（米国国立標準技術研究所）ガイドライン（Guide to Computing Security Log Management）の場合

　高影響度レベルシステムで3カ月から1年、中影響度レベルシステムで1カ月から3カ月、低影響度レベルシステムで1週間から2週間。

　内部統制に関わる書類については別途ストレージへの保管を考えるとすれば、1年分を蓄積できればまずは間に合う。オンプレミス構築の場合は、運用が難しいと思っても償却までの数年は使い続ける選択をしなければならないケースがあろうが、SaaS型なら途中で止めて他に乗り換えることも簡単だ。ただしログデータを自社に戻してもらえるか否かやその料金は業者との相談による。

　なお、標的型攻撃の場合は、発覚しないよう巧妙に情報送信を隠蔽して、数カ月から数年にわたって情報を窃取していた例もある。そのような場合、影響範囲の特定には攻撃の開始から発覚までの全てのログが必要となる。どれだけ保管していれば十分かは答えがないのでコストとの兼ね合いになるだろう。

　ちなみに、外部に委託する場合やSaaSを利用する場合には、次のような項目についてSLAを結び、明確にしておくことが望ましい（参考：データベース・セキュリティ・コンソーシアム「統合ログ管理サービスガイドライン（2010年12月）」）。

• ログの収集に関するSLA項目
• 複数ログの場合：相関分析に関するSLA項目
• ログの保管に関するSLA項目
• ログの分析レポートに関するSLA項目
• ログの発生パターンによるアラート（トリアージなど）に関する項目
• 追跡、調査に関するSLA項目

対象機器のログ取得のためのアダプターの品ぞろえ

　ログの形式は機器の種類、ベンダー、機種によっても違いがある。syslogは標準形式といわれるものの、実際に出力される項目はまちまちだ。そこで統合ログ管理ツールのデータベースで管理可能にするために、整形やマッピングの作業がいる。統合ログ管理ツールベンダーは、そのプロセスを自動化する「アダプター」を種機器ごとに用意しているが、そのラインアップはそれぞれ違う。

　自社の対象機器用のアダプターがあれば導入コストは低減するので、必ず確認したい。またアダプターが用意されていない機器が多い場合には、自社でも作成できるように、マッピングツールのような作業効率化ツールの有無と使い勝手を確認しておきたい。

　ビッグデータ分析エンジンのSplunkは、テキストデータならフォーマットを問わず検索可能にできる特徴があり、アダプターの必要がある場合でもシンプルにできる。対象機器種類が今後も増えていく場合などにも都合がよい。ただし若干知識とノウハウを要する部分があり、一般企業では導入・設定が難しい側面もある。SIerなどのソリューションにはよく用いられているので、サポートがいつでも得られる状態で運用できるようにしておくと安心だ。

セキュリティ関連の分析機能は簡単に使えるか

　アダプターの品ぞろえと同様に、分析機能、レポート機能のラインアップも重要な確認要素。特に専門スタッフが得にくい中堅中小企業では、ツール側で提供してくれる分析機能やレポート機能は最低限の管理レベルを形づくるのに重要だ。統合ログ管理の目的に合わせた分析が十分にできるだけのレポート機能（テンプレート）があると都合がよい。

ログのコンパクト化や安全保管ができるか

　ストレージが廉価になったとはいえ、できるだけ節約したいのは無論のこと、SaaSを利用する場合には容量制限があったり、容量による料金差があったりする。統合ログ管理ツールのログ圧縮機能を利用すれば10分の1程度になる場合があり、また不要なログ（検索エンジンのキーワードサジェスト機能やCSSの警告や応答ログなど）は最初から取得しないといった設定もコンパクト化に役立つ。ひいては分析性能に影響することもありうるので、確認しておきたい。

　なお、最初からログをどれだけの量とればよいのかを決めるのは難問だ。あるSaaS業者では、一般的なケースとして、まず100GB上限のコースで始めることが多いという。1週間ほどでログ取得量の傾向が分かるので、量と期間を最適に調整していけるとのことだ。またログ圧縮機能を使うため、100GBでも実際には1TB程度のデータ量が収まるという。

　オンプレミス構築の場合はもっと大きなストレージを最初から導入してもコストにはそう大きく響かないし、古いデータはテープに記録して長期保管することも簡単だ。データの圧縮とともに、削除、改ざんを防止するためのWORM（Write Once Read Many）機能のあるストレージ装置やテープ装置を利用できるとよい。

　以上、今回は、ログデータを比較的長期間蓄積して定期的または必要に応じて監査できる統合ログ管理ツールの意義と最新動向を紹介した。よく似た目的をもつSIEMツールについても、本コーナーの記事などを参照されることをお薦めする。