標的型攻撃対策としてのログ管理。SIEM導入の前にクリアすべき2つのレベルとは?

ZDNet Japan Ad Special 2017年04月12日 13時00分

  • このエントリーをはてなブックマークに追加

[PR]標的型攻撃対策としてのログ管理の重要性は認識しつつも、導入コストや運用の負担を考えるとSIEM(Security Information and Event Management)製品を採用することが困難という企業は少なくない。

 標的型攻撃対策としてのログ管理の重要性は認識しつつも、導入コストや運用の負担を考えるとSIEM(Security Information and Event Management)製品を採用することが困難という企業は少なくない。そこで求められるのがSIEMほどではないにしてもある程度の水準を満たせる、費用対効果に優れたログ管理の仕組みだ。ゾーホージャパン ManageEngine & WebNMS事業部 マーケティングチーム マネージャー 兼 ManageEngineソリューションエバンジェリストの曽根禎行(よしゆき)氏に話を聞いた。

SIEMを導入しなくても、「ログの長期保管」「可視化」は必須


ゾーホージャパン
ManageEngine & WebNMS事業部
マーケティングチーム マネージャー 兼ManageEngine ソリューションエバンジェリスト
曽根禎行(よしゆき)氏

 サーバやネットワーク機器などのログは、集約して分析することでさまざまな情報を得ることが可能となり、とりわけ内部不正対策や標的型攻撃対策などといったセキュリティに有効とされる。とはいえ、現在のセキュリティ市場では、ログ管理といえばSIEMばかりに注目が集まっているような状況だ。

 たしかに、さまざまなログからの相関分析など高度な分析を行おうとすればSIEMが必要だが、SIEMを活用するには専門知識を持ったセキュリティエンジニアの存在も不可欠となり、相応の費用を覚悟しなければならない。そこまでできるのは、自社内でSOC(Security Operation Center)を持つような通信会社やSOCのアウトソーサー、一部の大企業などに限られるだろう。

 しかし、多くの企業にとっては、SIEMほど高機能ではないにせよ、ある程度の水準のことができるログ管理の仕組みこそが重要であると、曽根氏は指摘する。

 「相関分析などを行うかどうかは別としても、ログを長期保管したり、可視化するといった取り組みをしておくことで、何かあったときに役に立ちます。我々は、「何の措置も行っていない水準」と「SIEMを活用する水準」との間に位置するものとして、『レベル1』『レベル2』を考えています」


図:レベル3のSIEMの導入以前に、まずレベル1とレベル2の対策が重要

レベル1:必要なログを長期間保存することがログ管理の基本

 まず、レベル1から説明しよう。ログ保管の措置を特に何も行っていなければ、何かあったときに参照できるのはサーバやファイアウォールなどが個々に保存しているログのみとなる。しかしその標準的な期間は短く、長期間潜伏しつつ活動していた標的型攻撃などの場合には発端となった出来事まで遡ることができず、原因の究明や被害の全容把握に支障を来す可能性が高い。結果として、会社は外部への説明責任を果たすこともできず、信用の失墜はより大きなものとなる。そこでゾーホージャパンではレベル1として、まず年単位の長期保管や簡易的な可視化を行うことを提案している。事後の検証ができる最低限の水準というわけだ。

 「JPCERT/CCでは目安として、ログの種類によりますが1年以上の保管を推奨しています。さらに当社としては、攻撃が長期化していることを理由に、JPCERT/CCで『Medium』以上の重要性があるとされるログの全てについて、3年以上保管しておくのが望ましいと考えています」(曽根氏)

ログ種類 重要性 オンラインログ
(ログ管理ツールなどで即時検索可能な状態)
オフラインログ
(アーカイブや外部媒体に保存されるログ)
EventLog Analyzer Firewall Anlyzer ADAudit Plus
DNS サーバ Very High 1~2年 2年以上   △ WindowsDNSのみ可
プロキシサーバ Very High 1年 1年以上  
メールサーバ High 言及なし 言及なし
メールアーカイブは不可
   
Firewall Medium 6~12カ月 1年以上  
その他サーバ (AD等) Medium 3~12カ月 6カ月以上   Active Directoryログの
可視性の向上が可能
ホストログ(PC端末) Low 1年 1年以上    

表:標的型攻撃対策におけるログ保管の種類と推奨期間
(JPCERT/CCが公開している資料「ログを活用した高度サイバー攻撃の早期発見と分析」から作成)

 このレベル1に対応する製品が、ゾーホージャパンの統合ログ管理ソフト/簡易SIEM「ManageEngine EventLog Analyzer」だ。もちろん長期保管はSIEMでも実現できるが、前述したようにSIEMの高度な分析機能を活用するにはユーザー側にも高度な知見を持つ人材が必要であり、そうした人材を置いておけない組織にとってはオーバースペックだ。EventLog Analyzerはさまざまな機器からのログ収集に対応しており、それらを関連付けて管理し、検索やレポート生成なども可能にする。それでいて本格的なSIEMに比べると導入コストは格段に安い。

 「加えて導入も簡単です。SIEMはログ管理のための商用RDBMSなどと合わせて導入することになりますが、ManageEngineシリーズはオープンソースのRDBMSも含めたワンパッケージで提供しており、ウィザード形式のインストーラーを操作するだけで利用可能になります。業種業態などにより違いがあるため一概には言えませんが、例えば一般的な製造業であれば100~300名くらいの企業でも身の丈に合ったログ管理が可能です。大手企業の事業/拠点単位やグループ子会社、信金・信組や新興系など、小規模な金融機関におけるログ管理ニーズにも対応できます」(曽根氏)

レベル2:問題の早期発見を可能にするログの可視化

 次のレベル2は、レベル1の統合ログ長期保管に加えて、一部の重要なログについて可視化することで定期的な監査を行うという内容だ。それにより、明らかな異常が発生した際に、例えば外部のセキュリティ専門業者を招いて分析してもらうなどの対応へつなげることができる。このレベルの製品として同社には、UTM、ファイアウォール、プロキシなどのログ管理ソフト「ManageEngine Firewall Analyzer」や、Active Directory(AD)監査レポートソフト「ManageEngine ADAudit Plus」がある。それぞれ目的別のパッケージとして提供されているため、ユーザーごとの状況に応じてレベル1からのステップアップを図ることが可能だ。

 「いずれも、対象となるログをより見やすくすることで、明らかな問題だけでも抽出できるようにする、という目的のツールです。ファイアウォールなどのログ分析を行えるツールとしては、それぞれのベンダーが自社製品向けに提供するツールがほとんどですが、Firewall Analyzerはマルチベンダー対応の汎用品となっています。またADAudit Plusは、ADへのログオン失敗情報を確認したり、Administrator権限を持つ特権IDで行われた変更履歴を確認するなどが可能で、競合製品に比べて低価格であることが特長です」(曽根氏)

 これらManageEngineシリーズの製品は、すでに多くの企業や自治体等で採用されており、ゾーホージャパンのサイトにはその導入事例が掲載されている。例えばFirewall AnalyzerやADAudit Plusは、総務省の「都道府県情報セキュリティクラウド」や「自治体ネットワーク強靭性向上モデル」に沿ったサイバー攻撃対策の一環として採用されるなどしている。

 そもそもゾーホージャパンのソフトウェアは、グローバルで販売されている製品の多言語対応版として開発されており、海外で多くの導入実績を持つ。最初に英語版を開発して英語圏に提供し、その後に日本語を含む多言語にローカライズするため、日本市場で販売される時点で完成度の高い製品になっている。

 「なお、英語圏では2月にAzureおよびAWS向けのログ管理ツール『Cloud Security Plus』が新たに提供開始されました。ユーザーがオンプレミスからクラウドへ移行しつつある中で、新たにクラウドサービスのコンソール操作の監査が求められつつあることに対応したものです。我々が今後のITインフラの変革にも対応していく姿勢であることをお分かりいただけると思います」(曽根氏)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化