ここ数年の間で、粉飾決算や原材料偽装隠蔽、消費期限改ざん、情報の不正持ち出し等々の事件や事例が数多く発生し、企業の社会的責任がいかなるものかが改めて大きく問われている。
「信用の失墜、法律違反といったリスクへの対処が求められる中、誰が、いつ、何に対して、何を行ったのかを知る手懸りであるログを活用することで、不適切な状態の把握や監視、さらには抑止が可能になる」と話すのは日立ソフトウェアエンジニアリング(以下、日立ソフト)の第1産業システム本部で第1システム部のシニアプロジェクトマネージャを務める小篠茂氏だ。
「ログを統合的に管理し、低コストで長期保存できる仕掛けが必要」と語る日立ソフトの小篠茂氏
ZDNet Japanが3月11日に開催した「統合ログ管理カンファレンス2009」で講演した同氏は、統合ログ管理システムの導入において陥りやすい問題や成功のためのポイントを解説した。
ログ管理のニーズは変化し新たな課題も発生
ログは従来、サーバダウンや外部からの攻撃などのシステム運用から利用が開始されていたが、J-SOXへの対応をきっかけとしてプログラム登録の監視やアクセス権監視など内部統制での法対応に拡大。現在は、データの持ち出しや設計時間の分析といった、セキュリティ確保や業務改善への分析などに利用され、さらには訴訟や会計監査で必要とされる電子書類の迅速な提出義務(e-Discovery)への活用まで準備が始められている。
「社内のさまざまな場所に大量に保存されているログを効率的に収集し、目的に応じて関連情報を抽出・精査して、レポーティングに活用することが求められている」と語る小篠氏だが、近年ではログ管理のニーズも大きく変化し、同時に新たな課題も発生しているという。
監査対象機器がネットワーク機器から基幹系システムのOS・DBに拡大し、ログ管理の煩雑化が増す一方で、ログの保管期間も数年〜10年に長期化。数テラバイトのストレージが必要となっている。また、セキュリティ管理者以外にもシステム管理者や内部監査人など、ログの利用ユーザーが多様化することによって利用目的も変化し、ログ検索の柔軟性も大きな課題だ。
「そんな背景から、ログを統合的に管理し、低コストで長期保存できる仕掛けが必要とされている」(小篠氏)
統合ログ管理システム導入における落とし穴とは?
だが小篠氏は、統合ログ管理システムの安易な導入には落とし穴があると警告する。その1つはログ収集が目的化すること。目的が曖昧なままログ収集すると非効率で使いづらいシステムとなる可能性が高い。財務関連データの非改ざん証明や企業ガバナンス向上のための勤務行動管理といった、目的を明確化することが重要だという。
2つ目はログの保管リソースが不足すること。さまざまなシステムのログを管理する場合、ログが予想以上に増大するケースが多い。
小篠氏は、「1日の発生予想量やログの圧縮率、保管期間などを検討し、保管リソースを計画的に算段しておくことが大切」と話す。
3つ目が管理対象のシステム運用がバラバラで導入が進まないこと。統合ログ管理システムは多くの部署のシステムが管理対象となるため、早期に役割分担やスケジュール調整を行ってプロジェクトを支援してもらう体制を整えることが重要となる。
その他、誰がいつ何を行ったかをログで特定できるようにしておくことや、各システムやサーバの時刻は同期させておくこと、事前に製品ベンダーからログの仕様などの情報収集をしておくことなど、小篠氏はアドバイスする。
図2 日立ソフト「SenSage」の概要。「SenSage Enterprise Security Analytics」によって多種多様なログを収集・相関分析・長期保存を可能にするクリックすると拡大します。
商用製品約200のログフォーマットに対応
その後、日立ソフトの大規模エンタープライズ向け統合ログ管理ソリューション「SenSage」を紹介した小篠氏は、大量ログの長期保存、高速検索と集計、GUIによる操作の容易性、多種多様なログフォーマットへの対応などの特長を解説。
特に、ログの長期保管・分析ツール「SenSage Enterprise Security Analytics」によるログの収集・保管・分析機能がこのシステムの心臓部となる。ネットワーク機器のみならずサーバのOSログやDBログなどを収集した後、カラム単位でログを分割することで高圧縮を実現し、保存先のディスク容量を削減する。
また、複数台のログサーバ間でインスタンスを構成し、データを自動分割・分散配置することでログの高速取り込みを実現し、同一クエリによるノード間の高速検索を可能にしているという。
「SenSageは、収集したログのカラム、テーブル情報などを定義するファイル『Log Adapter』を用意することで、取り込み実績のないログも柔軟に管理することができる」と語る小篠氏。Log Adapterは商用製品約200のログフォーマットに対応し、自動作成ツールによってユーザーでも簡単に新規作成が可能だという。
さらにGUI機能の紹介では、簡易ウィザードでクエリを定義せずレポート作成や、反対にクエリを作成することで柔軟な検索を可能とする他、クエリ結果から関連レポート機能での詳細分析や、ダッシュボードを利用すれば関連性のあるレポートを同時に表示し相関分析もできるという。
加えて、ログ管理ソリューションには導入や運用工数を削減するテンプレートの存在が欠かせないという小篠氏は、「日立ソフトではこれまでの構築実績をベースに豊富なテンプレートを用意している」と効率的な運用支援を強調。システム監査の視点で、データの不正持ち出しの監査、アクセス権限監査、業務処理の実態把握といった目的別に、対象システムから取得ログ/キーワードを取捨選択する目的別レポートテンプレートを活用することで、目的や工程に応じたレポート作成を支援するという。
