IT全般統制の必要性から、ログ管理システムの導入を検討する企業は多いが、ログで何を管理し、いかに活用すればいいのかという悩みが解決できず、導入を躊躇するケースも多い。
パナソニック電工インフォメーションシステムズのIDCビジネス本部でネットワークソリューション事業部のエキスパートである増田純一氏は、ZDNet Japanが3月11日に開催した「統合ログ管理カンファレンス2009」で講演し、米国SOX法対策とセキュリティ対策において、ログ管理に直面したいくつかの企業事例を紹介した。
IT全般統制、セキュリティ強化、そしてログ管理の一元化

まず、SOX対策におけるIT全般統制に関する対応では、サーバごと、アプリケーションごとに管理をするため、ERPで多数のサーバを運用する企業なら、その台数分のログ収集と分析等の工数がかかる。その上、監査部門からは、ERPで取得するログでは不十分で、OSやRDBMSの監査ログも必要との指摘も受ける。
また、不正アクセス者の操作内容を定期レポート化し、管理者にも通報しなければならない。
一方、セキュリティ対策におけるログ管理に関しては、ウイルススキャン、資産管理、操作ログ取得、VPN、ファイアウォール、IDS/IPS、アクセス制御などさまざまな製品が投入されてしまった結果、多種多様なログがシステムごとに点在し、フォーマットもバラバラで、管理担当も複数部門に跨る状態となってしまったという。
このような状況ではログを集約して分析することなどほぼ不可能に近いが、内部統制強化にはログ管理が必ず要求される。増田氏は、「セキュリティは個別に対策せざるを得ないにしても、ログ管理は一元化が重要」と述べる。
ログ管理は対応ずみというが、その実態は……
内部統制に求められるログ管理、つまりアカウント・ID権限の変更/追加/削除、DBやファイルのアクセスログ、ユーザーPCの操作ログなどとともに、外部脅威への対抗措置としてのログ管理(ファイアウォール、IPS/IDS、VPNなどからのログ)に対して、ほとんどの企業がこれらを対策ずみと答えるという。
しかし、増田氏によると、「システムごとにログ管理されているためITシステム全体で何が起こっているか把握できないといった悩みや、反対に一部のシステムしかログ収集をしていない、あるいは保存したログにセキュリティ対策を施していないため改ざんや不正利用される恐れがあるケース、バックアップを取っていないといった現状が多い」という。
そのため、増田氏は、ログの効率的な収集と安全保存、法律や業界ガイドラインに対応するコンプライアンスレポートの作成・定期報告、さらにはセキュリティインシデントの分析・リアルタイムアラート・フォレンジックなどを実現する統合管理基盤が必要であり、経営者の視点、内部統制担当者の視点、情シス部門の視点といったそれぞれの見地でログか活用できない限り、ログ管理がなされているとはいえないと断言する。

ログの高速収集と高圧縮保存が可能な「RSA enVision」
パナソニック電工インフォメーションシステムズは、統合ログ管理ソリューションにアプライアンス製品の「RSA enVision」を推奨し、導入コンサルティングから保守まで提供するという。この製品を選択した理由として増田氏は、ログの一極管理、高速検索、相関分析、リアルタイム監視・アラート、レポーティング、改ざん防止、そして生ログの高圧縮と効率的な保存などの条件が揃っていることを挙げる。
「RSA enVisionは、サーバやファイアウォール、IPS/IDSなどのシステムからのログデータの収集を行なうと同時に、ログの分析と保存・管理を平行して実施することが可能で、リアルタイムでアラートを出し、定期的にレポートを出力するといった活用ができる」(増田氏)
中でも注目すべき機能は、ログ管理の専用データベース「LogSmart IPDB(Internet Protocol Database)」だ。これはリレーショナルデータベースを活用する他のログ管理製品と比較して、高速なログの収集と高圧縮での保存が可能で、マルチスレッドによるリアルタイムな並行分析処理が可能という。さらに、WORM(Write Once Read Many;一度だけ書込みが可能な追記型方式)によりデータベース格納後の改竄も防止できる。
増田氏は、「高圧縮の機能に注目し、操作ログのような大量のログを保存する先としてRSA enVisionを選択する企業は多い」と話す。
単一拠点導入に向けた「RSA enVision ESシリーズ」は、筐体1台で分析・管理・収集の機能を全て兼ね備え、取り扱える対象デバイスは100〜1250、最大EPS (1秒あたりのイベント処理件数)も500〜7500まで対応する全5シリーズから選択できる。
「同一筐体のまま、ライセンス更新のみでアップグレードが可能なので、まずはスモールスタートで開始することをお勧めする」という増田氏は、レポートを作る作業はこのRSA enVisionに任せて、より重要な分析や監査のための工数に注力してもらいたいと語る。