コンピュータや周辺機器へのアクセスや動作状況などが記録されるログは、セキュリティを維持する上で非常に重要であり、企業の業務システムでは長期間の保管が必要な場合もあります。ログの管理にあたっては、取りこぼしがないようにきちんとデータを収集することと、改ざんを防止しながら保存することが求められます。また、最近ではSIEM(セキュリティ情報イベント管理)というログを分析して異常を検知するツールを導入するケースが増えており、SIEMを使うためにはログの必要な部分だけをフィルターで取り出すツールが求められています。ここでは、ログ管理で求められる機能を果たす、統合ログ管理ソリューションをご紹介します。
ログ管理とは
ログはコンピュータなどへのアクセスや動作状況をあらわす、システムの動作記録です。
サーバーなどで一般的なUNIX/Linuxマシンでは、syslogというログを記録・転送するプロトコル(形式)が一般に用いられています。syslogはもともとはsyslogdというソフトに対応したプロトコルで、現在広く用いられているsyslog-ngやrsyslogなどもsyslogプロトコルでログが記録・転送されています。また、近年用いられることが多くなったjournaldはsyslogとは別の形式でログを記録するものの、設定によりログをsyslogへ転送できます。syslog-ngなどはオープンソースソフトということもあり、UNIX/LinuxなどのOSといっしょにインストールされ、インストールの途中からコンピュータについてのログを記録していくのが一般的です。
syslogで記録されたログは、自コンピュータ内に保存することも、ログ専用サーバなど別のコンピュータに転送して保存することもできます。また、周辺機器のログも、コンピュータやログサーバに転送して保存・管理することが多くあります。ログは放置しておくと膨大なデータ量になってシステムを圧迫する場合もあるため、特に自コンピュータ内に保存する場合は、古いログを自動的に破棄してデータ量を一定量以内に保つログのローテーションが設定されます。UNIX/Linuxは多くの場合、ログのローテーションが設定された状態でインストールされ、初期設定では古いログは自動的に削除されます。
保存されたログは、コンピュータや周辺機器などの動作に問題が発生したときの原因追及や、コンピュータへのアクセスや負荷の調査のために用いられます。セキュリティの観点からは、ログを監視しておくことでシステムの異常や攻撃の発生といった問題を検知できます。また、万が一セキュリティ上の事故が発生した場合に、事故の原因や詳細を調査するためにログが用いられます。たとえば、顧客の個人情報や技術情報などといった重要な機密情報が流出した場合、原因や犯人とともに被害の範囲や規模をログを元に調査します。こうした調査に備え、ログは数年以上の長期間保存が必要な場合があります。セキュリティ上の事故は発覚するまでに長い時間がかかる可能性があるためです。
また最近では巧妙化する標的型攻撃などのセキュリティ攻撃に対応するため、SIEM(Security Information and Event Management、セキュリティ情報イベント管理)を導入する企業も増えています。SIEMは、大量の複数ログを相関関係などを考慮しながら高速で分析し、セキュリティ上の問題をいち早く検知します。セキュリティ攻撃への対応では初動の早さが求められます。SIEMは問題をいち早く検知することで、そうした素早い初動を可能にします。
ログ管理の課題
UNIX/Linuxをインストールすれば自動的にログの記録が開始する一方で、ログ管理には次の課題があります。
- ログ収集の問題。古いログが削除されることや転送時のロストなどが原因で、ログが取りこぼされる場合がある
- ログ保管の問題。ログが改ざんされる危険性がある
- ログの最適化。SIEMを導入する場合は、ログのフィルターが必要
ログ収集の問題
syslogなどでログを記録する場合、古いログはローテーションによって削除されます。そのため、必要なログが取りこぼされてしまうことがあります。こうした問題は、収集したログを保管する専用のログサーバーを構築し、そのログサーバーにネットワーク経由でログを転送することで改善できます。ただし、転送するときにログをロストして取りこぼす可能性もあります。この場合、ログのローテーションや古いログの扱いを改めて設定するなど、専用ログサーバーの適切な構築や設定、運用にsyslogやサーバーの専門知識が求められます。またログには機密情報が含まれることもあるため、ネットワーク経由でのログの転送ではセキュリティに配慮する必要があります。
ログ保管の問題
セキュリティ上の事故に備えてログを長期間保存する場合には、ログの改ざんへの対策が必要です。セキュリティ攻撃をする者は、システム自体や企業の機密情報などとともにログを狙う場合があります。ログを改ざんすることでセキュリティ攻撃の痕跡を消し、発覚や原因追及を逃れるためです。ログの改ざんへの対策としては、保管されるログデータの暗号化や適切なアクセス権の設定などがあります。
ログの最適化
SIEMを導入する場合には、ログの前処理を検討する必要があります。分析不要なログも含む大量のデータをSIEMで処理する場合、多くの時間とシステムへの負荷とともに、多額のライセンスコストがかかるためです。前処理としてログの必要なデータだけをフィルタリングすることで、時間やシステム負荷、コストを節約できます。
Syslog-ng Store Boxとは
Syslog-ng Store Box(SSB)は、オープンソースのログ記録・転送ソフトであるsyslog-ngと同じハンガリーの旧Balabit社により開発されたログ管理用のアプライアンス(特定用途向けの機器)製品です。SSBは大容量のストレージ(記憶装置)を備えるとともにLinuxベースの独自OSやsyslog-ngなどが事前にインストールされており、高速、多機能、セキュアなログサーバーとして機能します。SSBは、PCのWebブラウザを使ってネットワーク経由での運用や設定ができます。また、SSBに保存されたログの閲覧・検索にも、Webブラウザが使えます。
SSBは、コンピュータや周辺機器からネットワーク経由で転送されたログを保存し、ログを集中管理します。アプライアンスであるSSBでの集中管理やバッファ(一時記憶領域)制御により、ログのローテーションや転送時のロストなどによるデータの取りこぼしを防ぎます。また、NAS(ネットワークHDD)などにネットワーク経由でログをバックアップしたり、古いログをアーカイブとして移動させたりすることもできます。
SSBでは、データを暗号化することで、ネットワーク経由でのログ転送のセキュリティを確保しています。保存するログを暗号化することができ、また、タイムスタンプによる複製・改ざん・漏えい防止もできます。また、ログへのアクセス制御を細かく設定できます。こうした対策により、SSBではログの改ざんを防止します。
また、SSBでは保存されているログをフィルタリングし、必要なログだけをSIEMに送信するような前処理ができます。こうした前処理により、SIEMの分析にかかる時間を短縮し、システムの負荷を小さくするとともに、ライセンスコストを短縮できます。
ログの管理は、特に顧客の個人情報や技術情報などといった重要な機密情報を扱うシステムではセキュリティ上非常に重要です。統合ログ管理ツールであるSSBを導入すれば、安心してログ保管することができます。
