標的型攻撃対策としてのログ管理。SIEM導入の前にクリアすべき2つのレベルとは?

ZDNET Japan Ad Special

2017-04-12 13:00

[PR]標的型攻撃対策としてのログ管理の重要性は認識しつつも、導入コストや運用の負担を考えるとSIEM(Security Information and Event Management)製品を採用することが困難という企業は少なくない。

 標的型攻撃対策としてのログ管理の重要性は認識しつつも、導入コストや運用の負担を考えるとSIEM(Security Information and Event Management)製品を採用することが困難という企業は少なくない。そこで求められるのがSIEMほどではないにしてもある程度の水準を満たせる、費用対効果に優れたログ管理の仕組みだ。ゾーホージャパン ManageEngine & WebNMS事業部 マーケティングチーム マネージャー 兼 ManageEngineソリューションエバンジェリストの曽根禎行(よしゆき)氏に話を聞いた。

SIEMを導入しなくても、「ログの長期保管」「可視化」は必須


ゾーホージャパン
ManageEngine & WebNMS事業部
マーケティングチーム マネージャー 兼ManageEngine ソリューションエバンジェリスト
曽根禎行(よしゆき)氏

 サーバやネットワーク機器などのログは、集約して分析することでさまざまな情報を得ることが可能となり、とりわけ内部不正対策や標的型攻撃対策などといったセキュリティに有効とされる。とはいえ、現在のセキュリティ市場では、ログ管理といえばSIEMばかりに注目が集まっているような状況だ。

 たしかに、さまざまなログからの相関分析など高度な分析を行おうとすればSIEMが必要だが、SIEMを活用するには専門知識を持ったセキュリティエンジニアの存在も不可欠となり、相応の費用を覚悟しなければならない。そこまでできるのは、自社内でSOC(Security Operation Center)を持つような通信会社やSOCのアウトソーサー、一部の大企業などに限られるだろう。

 しかし、多くの企業にとっては、SIEMほど高機能ではないにせよ、ある程度の水準のことができるログ管理の仕組みこそが重要であると、曽根氏は指摘する。

 「相関分析などを行うかどうかは別としても、ログを長期保管したり、可視化するといった取り組みをしておくことで、何かあったときに役に立ちます。我々は、「何の措置も行っていない水準」と「SIEMを活用する水準」との間に位置するものとして、『レベル1』『レベル2』を考えています」


図:レベル3のSIEMの導入以前に、まずレベル1とレベル2の対策が重要

レベル1:必要なログを長期間保存することがログ管理の基本

 まず、レベル1から説明しよう。ログ保管の措置を特に何も行っていなければ、何かあったときに参照できるのはサーバやファイアウォールなどが個々に保存しているログのみとなる。しかしその標準的な期間は短く、長期間潜伏しつつ活動していた標的型攻撃などの場合には発端となった出来事まで遡ることができず、原因の究明や被害の全容把握に支障を来す可能性が高い。結果として、会社は外部への説明責任を果たすこともできず、信用の失墜はより大きなものとなる。そこでゾーホージャパンではレベル1として、まず年単位の長期保管や簡易的な可視化を行うことを提案している。事後の検証ができる最低限の水準というわけだ。

 「JPCERT/CCでは目安として、ログの種類によりますが1年以上の保管を推奨しています。さらに当社としては、攻撃が長期化していることを理由に、JPCERT/CCで『Medium』以上の重要性があるとされるログの全てについて、3年以上保管しておくのが望ましいと考えています」(曽根氏)

ログ種類 重要性 オンラインログ
(ログ管理ツールなどで即時検索可能な状態)
オフラインログ
(アーカイブや外部媒体に保存されるログ)
EventLog Analyzer Firewall Anlyzer ADAudit Plus
DNS サーバ Very High 1~2年 2年以上   △ WindowsDNSのみ可
プロキシサーバ Very High 1年 1年以上  
メールサーバ High 言及なし 言及なし
メールアーカイブは不可
   
Firewall Medium 6~12カ月 1年以上  
その他サーバ (AD等) Medium 3~12カ月 6カ月以上   Active Directoryログの
可視性の向上が可能
ホストログ(PC端末) Low 1年 1年以上    

表:標的型攻撃対策におけるログ保管の種類と推奨期間
(JPCERT/CCが公開している資料「ログを活用した高度サイバー攻撃の早期発見と分析」から作成)

 このレベル1に対応する製品が、ゾーホージャパンの統合ログ管理ソフト/簡易SIEM「ManageEngine EventLog Analyzer」だ。もちろん長期保管はSIEMでも実現できるが、前述したようにSIEMの高度な分析機能を活用するにはユーザー側にも高度な知見を持つ人材が必要であり、そうした人材を置いておけない組織にとってはオーバースペックだ。EventLog Analyzerはさまざまな機器からのログ収集に対応しており、それらを関連付けて管理し、検索やレポート生成なども可能にする。それでいて本格的なSIEMに比べると導入コストは格段に安い。

 「加えて導入も簡単です。SIEMはログ管理のための商用RDBMSなどと合わせて導入することになりますが、ManageEngineシリーズはオープンソースのRDBMSも含めたワンパッケージで提供しており、ウィザード形式のインストーラーを操作するだけで利用可能になります。業種業態などにより違いがあるため一概には言えませんが、例えば一般的な製造業であれば100~300名くらいの企業でも身の丈に合ったログ管理が可能です。大手企業の事業/拠点単位やグループ子会社、信金・信組や新興系など、小規模な金融機関におけるログ管理ニーズにも対応できます」(曽根氏)

レベル2:問題の早期発見を可能にするログの可視化

 次のレベル2は、レベル1の統合ログ長期保管に加えて、一部の重要なログについて可視化することで定期的な監査を行うという内容だ。それにより、明らかな異常が発生した際に、例えば外部のセキュリティ専門業者を招いて分析してもらうなどの対応へつなげることができる。このレベルの製品として同社には、UTM、ファイアウォール、プロキシなどのログ管理ソフト「ManageEngine Firewall Analyzer」や、Active Directory(AD)監査レポートソフト「ManageEngine ADAudit Plus」がある。それぞれ目的別のパッケージとして提供されているため、ユーザーごとの状況に応じてレベル1からのステップアップを図ることが可能だ。

 「いずれも、対象となるログをより見やすくすることで、明らかな問題だけでも抽出できるようにする、という目的のツールです。ファイアウォールなどのログ分析を行えるツールとしては、それぞれのベンダーが自社製品向けに提供するツールがほとんどですが、Firewall Analyzerはマルチベンダー対応の汎用品となっています。またADAudit Plusは、ADへのログオン失敗情報を確認したり、Administrator権限を持つ特権IDで行われた変更履歴を確認するなどが可能で、競合製品に比べて低価格であることが特長です」(曽根氏)

 これらManageEngineシリーズの製品は、すでに多くの企業や自治体等で採用されており、ゾーホージャパンのサイトにはその導入事例が掲載されている。例えばFirewall AnalyzerやADAudit Plusは、総務省の「都道府県情報セキュリティクラウド」や「自治体ネットワーク強靭性向上モデル」に沿ったサイバー攻撃対策の一環として採用されるなどしている。

 そもそもゾーホージャパンのソフトウェアは、グローバルで販売されている製品の多言語対応版として開発されており、海外で多くの導入実績を持つ。最初に英語版を開発して英語圏に提供し、その後に日本語を含む多言語にローカライズするため、日本市場で販売される時点で完成度の高い製品になっている。

 「なお、英語圏では2月にAzureおよびAWS向けのログ管理ツール『Cloud Security Plus』が新たに提供開始されました。ユーザーがオンプレミスからクラウドへ移行しつつある中で、新たにクラウドサービスのコンソール操作の監査が求められつつあることに対応したものです。我々が今後のITインフラの変革にも対応していく姿勢であることをお分かりいただけると思います」(曽根氏)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]