ログ管理

スモールスタートが可能なアプライアンス製品

　ハードウェアとソフトウェアが一体化したアプライアンス製品であることがRSA enVisionの特長である。必要な機能があらかじめ実装されているので、導入に要する時間とコストを抑えながら、企業システムを制御することが可能なのである。

　RSA enVisionでは、ログを収集し、管理、分析までを単体で実現する「ESシリーズ」をはじめ、それらの処理を複数台のアプライアンスに分担させる「LSシリーズ」など、企業のニーズやビジネスの要件に合わせて拡張できる広範なモデルを合計11種類用意している。参考価格としては、ローエンドモデルの「ES 560」が680万円。轡田氏は、「日本ではひとつの法規制に準拠することをイメージして、必要最低限のシステム構成でテスト導入しようとする担当者が多い。スモールスタートが可能な点もRSA enVisionの強みです」と語る。

　同製品は、最大対応デバイス数および1秒あたりのイベント処理件数についてはモデルごとに異なるものの、ローエンド製品でもハイエンド製品でも筐体やCPUは同じ。そのため、パフォーマンスが不足した場合でもハードウェアを取り替えることなく、ソフトウェアのライセンスキーを新しく割り当てるだけで規模を容易に拡張することが可能だ。

　また荒木氏は、「ESシリーズは300GBのストレージを内蔵していますが、親和性の高いEMCの高機能なストレージを組み込むことも可能です。生ログを長期保存できるようになれば、ILM（インフォメーション・ライフサイクル・マネジメント）を実践し、効率的な情報活用を加速させることができます」と話す。

　さらに同製品は、約150種類のデバイスを標準でサポート。ログ収集対象デバイスに専用のエージェントを配備する必要がないため、導入コストや運用管理コストを抑制することができる。「各デバイスは生ログをRSA enVisionにわたす処理を実行するだけ。管理対象デバイスの動作にほとんど影響を与えません」（轡田氏）。プロトコルはSyslog、SNMP、テキストファイル、ODBC、XML、Windows API、CheckPoint OPSEC interface、Cisco IDS POP／RDEP／SDEEなどをサポートしている。

RSA enVisionの容易な導入とスケーラビリティ テストケースで導入し、その後本格導入しようとする際も、ソフトウェアの
ライセンスキーを新しく割り当てるだけで規模を拡張できる。

何のためのログ管理なのかを定義することが重要

　現在、RSA enVisionは、単純なログ管理ではなく統合ログ管理を実践したい経営者や、高圧縮でログを保存できることによって削減できるストレージ数に換算した投資対効果を考慮したシステム管理者からの引き合いが増えている。しかしながら、ログ管理システムはメールサーバやファイルサーバと違って相対的に投資効果が測定しにくいため、膨大なコストをかけにくいソリューションでもある。活用方法によって業務の生産性が大きく変わるため、さまざまな法規制に対応せざるを得ない状況の中で、要件をほとんど考慮しないままログ管理システムを導入すると失敗してしまうケースがあるという。

　轡田氏は、「法規制やガイドラインに対応するためのコンプライアンス要件なのか、複数システムからのログを一元管理し安全な状態で長期保存するログ管理要件なのか、セキュリティ・インシデントの検知や分析を重視したセキュリティ・オペレーションなのか、その目的と優先度を見定めた上で統合ログ管理システムを導入することが不可欠です」と語る。

　今後、RSAセキュリティでは、RSA enVisionがサポートできるデバイス数をさらに増やしていくことで、企業のセキュリティ基盤をより一層盤石にしていきたい考えだ。企業のコンプライアンス対応やセキュリティ強化を実現しつつ、経営情報の効率的な取得などの実現のために、RSA enVisionの導入を検討してみてはいかがだろうか。統合ログ管理のリーディングカンパニーであるRSAセキュリティならば、各企業の固有な課題にフィットした、最適なソリューションを提案してくれるはずだ。