IoT時代のログ管理は「面倒くさがり屋」が仕切る:特集:IoT時代のセキュリティログ活用(4)(1/2 ページ)
セキュリティ企業のゲヒルン 代表取締役 石森大貴氏に、IoT時代の「ログ活用」の姿について聞いた。
IoT時代の「ログ」をどう読むか?
「IoT時代のセキュリティログ活用」と題し、ログ活用の観点からIoT時代のサイバーセキュリティ対策を考えてきた本特集。前回は「デジタルフォレンジック」の観点から、セキュリティ事故発生時のコストを抑えるためのデータ運用のポイントを整理した。
最終回となる今回は、セキュリティ企業ゲヒルン 代表取締役 石森大貴氏に、IoT時代のログ活用においては「何が変わり、何が変わらないのか」について尋ねた。
今でも大きな課題の「ログ管理」――端末が増えたとき、管理し切れるのか
2016年4月1日11時39分、三重県南東沖で震度4の地震が発生した。ゲヒルンの代表取締役、石森大貴氏が運営する地震などの自然災害情報を速報するためのTwitterアカウント「@UN_NERV」も、いち早くその情報を伝えていた。
しかし、石森氏はこんなことをつぶやく。「EEW(緊急地震速報)が発信できなかった」――。
地震発生後のツイートは行えたものの、本来ならばその前に警告が投稿されるはずだった。後から分かったことだが、その原因は「蓄積されていたサーバのログが適切にローテーションされていなかったために、“ディスクフル”を起こしていた」という単純なものだった。「ログのローテーション設定などの管理作業を、1カ所から行えるようにするのは基本。自分自身、顧客にそう推奨してきたのに、それができていませんでした」と、石森氏は反省を込めて、自らの体験を振り返る。
インフラ技術の進化により、今ではワンクリックで仮想環境を立ち上げたり、落としたりできるようになった。しかし、この進歩に「ログ管理」などのセキュリティ対策は追い付いているのだろうか? そして、無数の非力な端末にあるデータを収集・解析する「IoT(Internet of Things)」が一般化したとき、従来のような手法によるログ管理を続けることは可能なのだろうか? セキュリティ企業ゲヒルンのCEO 石森大貴氏に、これからのセキュリティログ管理が向かう方向について尋ねた。
ログ管理手法の“決定版”なきままIoT時代に突入?
「現在のIoTの動きを見ていると、従来のシステムでログ管理の手法を模索していた“初期”のころを思い出します」と石森氏は述べる。
従来のシステムでは、「syslogに書き込む」「サーバ上のファイルに書き出す」「収集・解析までを見越してAWS上に出力する」など、さまざまなログ出力の方式が採用されてきた。石森氏はIoTにおいても同様に、「全てのログを中央サーバに送る」「重要な数値だけをサマリーして送る」「エラー時のみ送る」といったいろいろなパターンが試行され、ベストプラクティスが確立されるまでの間は、互換性のないライブラリなども乱立するだろうと考える。
「各所で指摘されているように、通信容量やデバイスのスペックなどを考慮した上で、通信の間隔やログの間引き方をどうするか、デバイス側とサーバ側でどのように処理を分担するかといった点が問題になってくると思います。例えば、改札が開いた回数を記録するシステムがあったとして、30分や1時間間隔で合計値だけを中央サーバに送る方法もあれば、1分単位や5分単位でログを間引く方法もあります」
デバイスでエラーが起きたときの「エラーログ」の扱いも課題だ。エラー時のデバッグログなどは、本来必要なメトリクス情報よりもサイズが大きくなる可能性がある。中央サーバとの通信経路がそこまで高容量でない場合、こうしたエラーログの全てを送信することは難しい。これに関して石森氏は、「送られてきた部分的な情報から、その先にある本当の原因を“想像”するようなスキルが、エンジニアに求められてくるかもしれません」と言う。
また同氏は、サイズと併せてログの「内容」にも気を付けなければならないと指摘する。例えば、IoTの代表例ともいえる「自動車」の場合、エラー時に中央サーバに送信されるログの中に、その自動車が持つプライバシー情報――「位置」「速度」「経路」「所有者情報」など――が、 “環境変数”のような形で組み込まれていると、プライバシー侵害を起こす可能性がある。「IoTデバイスのログ設計においては、何がプライバシー情報なのか、それがログに入り込んでいた場合、どう処理するかを最初に設計しておく必要がある」が、現在はまだそうした管理手法の選択がエンジニアに任されており、標準的な手法は確立されていない。
そんなプライバシー情報の扱いに関しては、「暗号化」がポイントになると石森氏は述べる。「IoTデバイスが使える暗号化手法はマシンパワーの問題で限られますが、恐らく、メトリクスの暗号化は必須になるはずです。サーバ側では、近年出てきているデータを暗号化したまま検索・解析する手法が用いられるでしょう。ただし、エラーログを暗号化すべきか平文で送信すべきかはまだ議論になっていませんから、数年かけて標準が作られていくと思います」。
Copyright © ITmedia, Inc. All Rights Reserved.