セキュリティ業務における「ログ」の基礎知識――なぜ分析基盤が必要なのか：セキュリティログ分析基盤活用入門（1）（2/2 ページ）

[日比野恒，リクルートテクノロジーズ]

セキュリティログ分析基盤に求められること

　ここからは、これまで説明してきたログを取り扱うシステムと、そのログシステムに求められる要件について解説します。

SIEM製品の限界

　SIEM製品とは、各セキュリティ機器の各ログの相関分析ロジックを用いた監視システムのことです。標的型攻撃がはやり始めたころに、多層防御アーキテクチャで導入した各セキュリティ機器のログを個別に監視しているだけでは攻撃の検知が難しくなり、SOCの監視運用の負荷が高くなってきたことでニーズが高まった製品です。

　ログに関する製品には、SIEM製品以外にも「Syslog」サーバとして利用される「Syslog製品」、またその発展形である「統合ログ管理製品」があります。

　Syslog製品や統合ログ管理製品は、SIEM製品とは求められる機能や要件が異なります。Syslog製品は主にログの収集、アーカイブ目的での長期保管に優れています。そのため、I/O性能よりもデータの完全性やディスク容量が求められます。すなわち、リアルタイム検知が必要な監視システムには向かないといえます。また、相関分析ロジックも持ち合わせていません。

　一方SIEM製品は、リアルタイム性と相関分析ロジックが要求される製品で、IO性能が容量よりも重視される傾向にあります。そのため、長期間ログを保持する想定のアーキテクチャとはなっていません。

ログ管理製品の分類

　余談ですが、2000年初頭に登場した「ArcSight Enterprise Security Manager（ESM）」や「IBM QRadar SIEM」が、2010年ごろにSIEM製品という新たなカテゴリーを確立しました。日本では、2000年前半からマクニカネットワークスが「Splunk」の取り扱いを始めており、幕張メッセのInteropでよく展示されていました。ただし、セキュリティログ分析というよりは、「IT運用効率化ツール」という位置付けであったと記憶しています。

　SIEM製品には、あらかじめ200個を超える相関分析ロジックが搭載されており、そこが魅力の一つとなっています。しかし、その一つ一つを正しく理解し、自社組織のシステム環境に合わせたチューニングを継続的に行えるセキュリティ人材が育っていないという問題を抱えることになります。これにより、多くの金融機関や公共機関で導入されるも、検知するイベントに対応し切れず、アラートが上がっていたことに気付かずに情報漏えいなどのインシデントに発展してしまうケースが発生するようになりました。

　また、「多くのセキュリティ機器のログに対応している」とはいうものの、全てをうまくカバーし切れていない状況があります。例えば、「SKYSEA Client View」「LanScope Cat」などのPC操作ログはその対象に含まれていません。背景として、PC操作管理ソフトウェアはなぜか日本製品が多く、海外では市場自体が存在しないことが挙げられます。最近はEDR（Endpoint Detection and Response）領域として、クライアント端末の検知ソリューションがようやく成熟してきた印象です。PC操作ログもログシステムに取り込んで統合的に監視や分析したい企業は多いので、こうした点は商用SIEM製品では対応できないポイントになります。

　ここ数年のセキュリティベンダーの動きを見ていると、多層防御を実現する各製品を全て自社で抱え、ログ分析も含めてオールインワンソリューションを提供する企業が増えてきた印象を持っています。

セキュリティ業務の特性に応じたログ要件

　先に紹介した、ログを扱う4つのセキュリティ業務（監視業務、監査業務、フォレンジック業務、ハンティング業務）において、ログシステムに必要となる要件は以下のように整理しています。こちらの表についても、SOCやCSIRTを運営している方やこれから立ち上げようと考えている方に参考としていただければ幸いです。

ログを用いるセキュリティ運用業務の分類

次回以降は、ログ分析基盤に求められる機能、アーキテクチャ

　本稿では、セキュリティアナリティクスにおけるログ活用というテーマで、ログを利用するセキュリティ業務と扱うログの種類、各ログ管理製品の特長について、解説しました。

　次回以降は、セキュリティ業務の特性に合わせたログ分析基盤に求められる機能やその機能を実現するためのシステムアーキテクチャの考え方について、紹介します。またシステムだけではなく、そのシステムを利用する組織の人員構成、求められるスキルセットにも踏み込んでいきますので、お楽しみに。

筆者紹介

日比野 恒（ひびの ひさし）

リクルートテクノロジーズ ITソリューション本部 サイバーセキュリティ部 セキュリティオペレーションセンター1グループ所属

10年間、ITコンサルティング会社に在籍。インフラコンサルタントとして、主にネットワーク、データセンター、仮想基盤の設計や構築を担当。2015年以降、セキュリティアーキテクトとして、主に金融機関や公共機関に対して、セキュリティ対策製品の提案導入、「Elastic Stack」を用いたセキュリティ脅威分析基盤の開発を推進。2019年から現職において、次期ログ分析基盤のアーキテクチャ設計を担当。