pr


 @IT情報マネジメント カンファレンス『第5回 ログ活用セミナー』が3月10日に都内で開催された。

 情報漏えいやサーバへの不正アクセスなどが多発している近年、セキュリティ対策はますます重要な課題として認識されている。だが、どれほど対策を施していても“万全”はあり得ないのがセキュリティ対策だ。万一、事故が起きた際に備えて、「いつ、どのような経路で情報が漏れたのか」事故原因を究明できる体制作りも不可欠となる。

 ログ取得・管理はそうした発見的統制に欠かせない取り組みとなる。しかし、多くの企業がログ管理の必要性を認識し、実際にログ取得に乗り出していながら、どんなログを取るべきなのか、どう使えば効果的なのかが分からず、有効に活用できていないケースが多い。そこで本セミナーでは、情報漏えいや不正アクセス対策に悩む情報システム担当者やサイト管理者に向けて、ログ取得・管理のポイントを紹介した。

 基調講演ではゴルフダイジェスト・オンラインのシステム戦略担当(CIO)大日健氏が「不正アクセスから学ぶログの重要性」と題し、実際に不正アクセス事故を経験した際の対応と、そこから得た教訓を紹介した。

 同社では創業した2000年以来、会員制サイト「ゴルフダイジェスト・オンライン」のシステムの増強を継続。ゴルフ場予約、eコマースと機能を拡張してきた結果、かなり肥大化したシステムになってしまったほか、「どの情報を、どう管理するか」という情報管理の在り方や責任の所在についてはあいまいなままであったという。

 そうした中、2008年9月にサーバへのSQLインジェクション攻撃を受けた。読者が会員登録をすると、登録完了を告げるメールを自動配信する仕組みとなっていたが、その電子メールに本来入らないURLが書き込まれており、ウイルスが仕掛けられた可能性のあるサイトにリンクされていたという。

ゴルフダイジェスト・オンライン
上級執行役員 兼
コーポレートユニット担当 兼
システム戦略担当
大日 健氏

 読者からの指摘によってサーバへの不正アクセスを認識した同社は、サービスを停止して原因究明に取り掛かった。だが、Webサーバログ、ファイアウォールログ、IPSログを取得していたものの、これらを組み合わせて原因を推測するなどの“仕組み”を用意していなかった。そのため、肥大化したシステムの膨大な量のログを前にして、「いつ、どんな経路でアクセスされ、どんな影響があるのか」をなかなか把握できず、結局、問題個所を突き止めてデータベースをクリーニングし、サイトを全面再開するまでに10日間を要したという。

 この経験を通じて、同社ではログの取得目的を明確化し、次の5つのログを取る体制を築いた。「誰が、いつ、何を操作したか」を追跡する操作ログ、どんなトラフィックが流入したかを調べるWebサーバログ、不正なSQLを処理していないかを調べるSQLログ、不正アクセスの流入経路を探るファイアウォールログ、そして攻撃パターンを知るためのIPSログだ。現在はこれらを統合的に監視する体制を築き、発見的、予防的統制に努めているという。

 大日氏は「ログは保存するだけではなく、どう活用・運用するかを考えることが重要。各種ログを個別に取るのではなく、集中管理して、そこから事象を読み取るための何らかの仕組みを用意することが不可欠だ。万一、事故が起きても早期に対処できる環境を整えることが、顧客の信頼を得るためのファーストステップになる」とまとめた。

 なお、当日は「いまログ管理がうまくいっていないわけ」と題して、S&Jコンサルティング 代表取締役の三輪信雄氏も講演した。以下ではこのほかの2つのセッションを紹介しよう。

イベントレポート インデックス
『結局、ログはどう使われているのか?〜目指すべきログ管理の姿とは〜』
‐ インフォサイエンス
『ログ・アクセス管理自動化のメリット〜コンプライアンス強化と運用管理の効率化を目指して〜』  ‐ ノベル


インフォサイエンス
『結局、ログはどう使われているのか?
〜目指すべきログ管理の姿とは〜』
インフォサイエンス株式会社
プロダクト事業部
コンサルティンググループ
シニアコンサルタント
稲村 大介氏

 インフォサイエンスのセッションではプロダクト事業部の稲村大介氏が登壇し、「結局、ログはどう使われているのか?〜目指すべきログ管理の姿とは〜」と題して講演を行った。

 まず稲村氏は、統合ログ管理製品を導入しても、ログをうまく活用できていないケースが多いことを指摘。その理由として、企業からは「大量のログをどう見ればよいか分からない」「ログを追跡できない」「レポートを見ても何が起きているのか把握できない」といった声が挙がっていることを紹介した。

 稲村氏はこれらの主原因として、「無駄なログを大量に取得しており、重要なログが埋もれている」「システムによって異なるフォーマットのログを、追跡できる形式で取得できていない」「単にログを羅列しただけの意味のないレポートを出力している」ことを指摘。そのうえで、同社の統合ログ管理製品「Logstorage」が、それぞれの課題に対応する機能を持っていることを紹介した。

 まず「無駄なログを大量に取得している」問題については、収集ログをフィルタリングする機能で解決できるという。各種フィルタリングプログラムをシステムに設定することで、例えばWeb/Proxyサーバなら「画像ファイルやスタイルシートへのアクセスログをフィルタする」など、取得するログを任意に絞ることができる。フィルタリングプログラムはカスタマイズ可能であり、状況に応じて最適なフィルタリングが掛けられるという。

 一方、「システムによって異なるフォーマットのログを、追跡できる形式で取得できていない」という問題については、同社が特許を取得している「ログフォーマット定義機能」が対応している。これは「発生時刻」「ユーザーID」など、ログに含まれる各データ項目に、その意味を表すタグを任意に付与できる機能だ。これにより、システムによってログのデータフォーマットが異なっていてもそれらを追跡でき、管理者にとって内容を把握しやすいよう、ログの“見え方”をアレンジできる。

 また、ユーザーIDやアプリケーション、アクション(操作)内容など、ログの各データ項目を軸として、自由に検索、一覧できるほか、「データ項目に含まれていない軸で検索したい」というニーズにも対応し、ログに任意のIDを付与することもできる。

 「これは、共通ID付与フィルタと呼ぶプログラムを使って、システムからログを取得する際、自動的に任意の共通IDを付与したうえでログを保存する機能だ。例えば、yamadaという個人名のIDをログに付与すれば、yamadaという個人名を軸に各種ログを検索、リストアップできる。すなわち、yamadaがいつ、どのシステムに対して、何をしたかを把握できる。個人名のほかにも部署名など、任意の管理単位でログを検索・一覧できる点がユーザー企業に支持されている」(稲村氏)

 そして3つ目、「単にログを羅列しただけの意味のないレポートを出力している」という問題には、ログデータ同士を突き合わせる“突合(とつごう)”という方法が有効だという。「例えば、退職者のIDを使ってシステムに不正にログインしても、各システムのログを個別に取得・チェックするだけでは、IDが正しく登録されたものである以上、不正とは見抜けない。しかし、ワークフローシステムのID登録・削除申請データのログと、各種システムの操作ログを“突合”させれば、退職により削除申請が出されているIDでシステムが利用されたと分かる。Logstorageは、このように不正を見抜く鍵となるログ同士を選択し、“突合”させたレポートを出力できることが1つの特徴だ」(稲村氏)

 また、稲村氏はログ活用の取り組みについて、「小さく始めて徐々に取り組みの規模を拡大、改善していくと効率的だ」とアドバイスする。その点、Logstorageは、ログを収集・保存する「Logstorage LogGate」と、保存したログの検索・集計・レポート作成を行うWebアプリケーション「Logstorage Console」という2つのコンポーネントで構成されており、規模を拡大する際には「Logstorage LogGate」の増設だけで済むという。

 Syslog、FTP、FTPS、File共有、SNMP、Agentなど、さまざまなログ収集方法をサポートしているほか、OSやデータベース、ネットワーク機器など、現在、日本国内で使われている200種以上のエンタープライズ向け製品のログ収集実績があることもポイントだ。さらに、前述のようにシステムによってログのデータフォーマットが異なっていることを考慮し、ログの各データ項目名を統一した見え方にするためのタグ・テンプレートを、ログ収集実績がある各エンタープライズ関連製品に用意している。これにより「Logstorageの導入後、初期設定に手間取ることなく、すぐに活用しやすいことも特徴だ」という。

 稲村氏は「ログ管理のポイントは、自社の業務状況に応じて、ログの見え方や、ログを取る対象を最適化すること。その点、データ項目にタグ付けするデータフォーマット定義機能や、Logstorage LogGateを増設するだけという拡張性の高さは大きなメリットとなる。ぜひ本製品を使って統合管理基盤を整備し、ログを有効活用してほしい」とまとめた。

結局、ログはどう使われているのか? 〜 目指すべきログ管理の姿とは 〜

結局、ログはどう使われているのか? 〜 目指すべきログ管理の姿とは 〜

統合ログ管理を行うことでガンブラー/IT統制/情報セキュリティ対策、グリーンIT、クラウド/SaaS/ASP、PCIDSS/ISMS対応に役立てることができる。(2010/03/23)




ノベル
『ログ・アクセス管理自動化のメリット
〜コンプライアンス強化と運用管理の効率化を目指して〜』

 ノベルのセッションでは、営業本部の佐藤紀之氏が登壇し、「ログ・アクセス管理自動化のメリット〜コンプライアンス強化と運用管理の効率化を目指して〜」と題して講演を行った。

風間氏
ノベル株式会社
営業本部
SEグループ マネージャー
佐藤 紀之氏

 冒頭で佐藤氏は、ログ、アクセス管理における課題として、「ログは取っているが、ID発行からアクセス権の付与まで、適切な操作が行われたか証明するのに時間がかかる」「同一のユーザーでも、システムごとにIDが異なるため、各人の作業履歴ログの収集、分析に膨大な時間がかかる」といった問題があることを紹介した。

 佐藤氏は、「これらの課題を解決するためには、ログ/アクセス管理の基本要件――誰が、どこで、いつ、何をしたという情報を正確かつ効率的に把握できる体制を整えることが大切だ」と指摘。その要件を実現するITシステムとして、「誰が」を特定できるシングルIDの付与機能、「どこで」を把握できるシステム/ネットワーク機器へのID連携機能を持つ統合ID管理ツールと、「誰が、どこで、いつ、何をしたか」のログを残せる統合ログ管理ツールの2つが不可欠であることを説いた。

 「統合ID管理ツールと、統合ログ管理ツール、また各システムへの安全かつ正当なアクセスを担保するためのアクセス管理ツールを連携させて、社内の各システムのユーザーIDやアクセス権限、ログを一元管理すれば、誰が、どこで、いつ、何をしたかを正確・確実に把握できる。これにより、個人と各システムのID情報のひも付けや、ID申請・承認履歴の確認なども効率的に行えるようになる」(佐藤氏)

 同社ではこうした考え方に基づき、統合ID管理製品「Novell Identity Manager」、アクセス管理ツール「Novell Access Manager」、統合ログ管理製品「Novell Sentinel Log Manager」を提供。佐藤氏は「これらを上手に組み合わせて運用すれば、アクセス管理、ログ管理に関するほとんどの作業を効率化できる」と述べ、各製品の機能の概要を紹介した。

 まずNovell Identity Managerは、人事システムと連携させることで、新しいユーザーに対して勤務初日に自動的にアクセス権を提供したり、退職者のIDを即時無効化したりすることができる。これにより、人事異動などの際のID管理業務を大幅に効率化できる。また、パスワード管理機能により、異なるデータ形式を持つシステム同士でユーザー情報を自動的に共有したり、単一のパスワードによる各システムへのアクセスを可能にしたりするなど、「セキュリティと生産性の両立を強力に支援する」という。

 一方、Novell Access Managerはシングルサインオンによる認証の一元化を実現し、システムごとにログインが必要というユーザーの手間を削減できる。また、IDとアクセス権限を一元管理できるため、ユーザーごとにアクセス権が異なる複雑な権限体系を運用していても、新システムを追加する際の設定作業を効率化できる。

 そしてNovell Sentinel Log Managerは、サーバ、ファイアウォール、データベースといった各種デバイス、アプリケーションからのログを集中管理することができる。これをNovell Identity Manager、Novell Access Managerとともに運用すれば、「誰が、いつ、どのシステムで、何をしたか」を正確・確実に把握できる体制が整うという。

 「Novell Sentinel Log Managerで正確・確実にログを把握できるのも、徹底したID/アクセス管理があってこそ。また、Novell Sentinel Log Managerには、1時間、1週間、1カ月といった単位で任意の期間を設定し、定期的にログのレポートを出力する機能のほか、ログの取得元システムをマッピング表示する機能もあり、ログの取得元システムの特定や、各システムの連携状況を視覚的に把握することもできる。さらに、システムによってログのデータ項目のフォーマットが異なっていても、正規化してフォーマットを整えたうえで画面表示するなど、管理者にとってログを閲覧、分析しやすい環境を整備できる」(佐藤氏)

 また、Novell Sentinel Log Managerはさまざまなシステムに接続できるコネクタを装備しており、Syslog、JDBC、WMS/WMI、Fileといったログ収集方法に幅広く対応しているほか、同製品に標準で同梱されているログデータストレージ以外のストレージも使える導入のしやすさもポイントだ。

 ちなみに、これら3製品はグローバルで6000件の導入事例があり、「セキュリティにシビアな企業にも支持されていることが大きな特徴だ」という。例えば、各種クレジットカードの代理店統括業務を請け負うドイツのSwisscard AECS AGでは上記の3製品を活用して、約200のアプリケーションや、各種サーバにおけるユーザーID、アクセス権、ユーザーのロール情報を一元管理し、不正アクセスを防止している。そのうえで各システムの全操作ログを取得・管理し、不正操作があれば管理者に向けてリアルタイムでアラートを発信する環境を整えているという。

 佐藤氏は「誰が、いつ、どこで、何をしたかを確実・正確に把握するためには、徹底したID/アクセス管理が大前提となる。ログ管理だけを単独でとらえるのではなく、ぜひID/アクセス管理と組み合わせた、より効果的・効率的なセキュリティ対策、ログ活用を検討してほしい」とまとめた。

ログ・アクセス管理自動化のメリット

ログ・アクセス管理自動化のメリット

コンプライアンス強化と運用管理の効率化を両立させるノベルのID・ログ管理ソリューション(2010/03/31)



 関連リンク


提供: インフォサイエンス株式会社
ノベル株式会社

企画:アイティメディア 営業企画
制作:@IT 情報マネジメント編集部
掲載内容有効期限:2010年4月30日


イベントレポート インデックス
『結局、ログはどう使われているのか?〜目指すべきログ管理の姿とは〜』 ‐ インフォサイエンス
『ログ・アクセス管理自動化のメリット〜コンプライアンス強化と運用管理の効率化を目指して〜』 ‐ ノベル

ホワイトペーパー ダウンロード
ログ・アクセス管理自動化のメリット

結局、ログはどう使われているのか? 〜 目指すべきログ管理の姿とは 〜

統合ログ管理を行うことでガンブラー/IT統制/情報セキュリティ対策、グリーンIT、クラウド/SaaS/ASP、PCIDSS/ISMS対応に役立てることができる。(2010/03/23)

ログ・アクセス管理自動化のメリット

ログ・アクセス管理自動化のメリット

コンプライアンス強化と運用管理の効率化を両立させるノベルのID・ログ管理ソリューション(2010/03/31)


スポンサー

インフォサイエンス

ノベル