統合ログ管理ツールで不正行為も一目瞭然:IT導入完全ガイド(1/5 ページ)
J-SOX対応の流れで内部不正防止目的として導入が進んだ統合ログ管理ツール。現在ではシステム部以外の担当者が簡便に操作できるほど操作性が向上した。効率的な活用法や落とし穴について詳しく解説する。
各種IT機器やミドルウェア、アプリケーションが動作状況を記録するために常に書き出しているのが「ログ」だ。
システムの状態を正確に反映するログからは、システム障害の発見や究明の手掛かりが得られるばかりでなく、上手に管理すれば内部で行われる不正行為の発見やシステム内部に潜む情報窃取、リモート操作マルウェアの発見、情報漏えい防止に役立てられ、さらにはシステムやネットワークのボトルネック発見、リソース最適化にも発展させることが可能だ。
今回は、膨大な量のログの中に埋まっている「宝物」や「毒物」を効率的に見つけ出す「統合ログ管理」の最新動向とツールの生かし方を紹介していく。
統合ログ管理ツールの役割の変化
統合ログ管理ツールは国内では2008年からのJ-SOX対応の流れの中で業務プロセスに関わる内部不正証跡確保の目的で導入されてきた。コンプライアンスを徹底するために必要なログデータの長期保管、削除や改変などの改ざんを防止する機能が人気を呼んだ。しかし、「ログは蓄積したが活用の場面がない」ことで投資効果が疑問視されることも多かった。
近年では標的型攻撃に始まり、やがては情報窃取につながるサイバー攻撃が企業ITの脅威になっており、早急な対策が求められるようになった。統合ログ管理ツールはこの面でも役割を果たすように進化している。障害対応の迅速化とともに、日常的な操作監視のために、統合ログ管理ツールは活用され始めている。
コラム:SIEM製品との違いは?
統合ログ管理ツールと同じように、ログを管理する製品に「SIEM(Security Information and Event Management)」ツールがある。しかし、SIEMといえばリアルタイムのセキュリティイベント検知を主眼にしたツールを指し、統合ログ管理ツールとは別ジャンルとされることが多い。
ログの蓄積と分析に重きを置くのが統合ログ管理ツール(現在は国産製品が中心に導入が進んでいる)であり、標的型攻撃など新しい脅威への対策に有効だが長期にわたる時間軸での分析には向かないのが、現在海外製品を中心に注目されているSIEMツールと考えればよいだろう。
統合ログ管理ツールの2つのタイプ
統合ログ管理の仕組みは、基本的には管理サーバを立てて、専用データベースにリアルタイム連携またはバッチで管理対象のログを集中させ、インデックスを付加して記録し、検索しやすくするというものだ。
ハードウェアやソフトウェアのログはテキスト形式もあればバイナリ形式もあり、それぞれの形式を細かく数えれば数千〜数万にも及ぶ。そこで統一データベースに収まるように整形してから格納することになる。
その作業は対象が多ければ多いほど大変なので、あらかじめ機器やアプリケーションなどのログ形式を変換するテンプレートが用意されており、そのテンプレート種類の豊富さと効率的な保管技術、データベースの高速性が統合ログ管理製品の重要な評価ポイントになっている。
近年では、いわゆる「ビッグデータ解析」エンジンを搭載する統合ログ管理ツールも登場している。これは管理対象のログ形式テンプレートを必要とせず、キーバリュー型データベースを利用してスキーマレスにログデータを取り込めるものだ。
さまざまな形式のログデータを保存してから管理項目を定義でき、異種データも横断的に検索できる。NoSQLデータベースと同様に大規模分散化でも高速検索が可能だが、古いデータは別途保管するなどデータの世代別管理機能をもち、限られたメモリでも十分な高速性を確保できるところが違っている。従来型のツールに比べリアルタイムに俯瞰的な傾向把握が可能なところに特徴がある。
Copyright © ITmedia, Inc. All Rights Reserved.