「Logstorage」は、内部統制、情報漏えい対策、PCI DSS準拠、マイナンバーの利用監査、標的型攻撃対策など、主に企業内のITシステムの適切な利用のモニタリングを目的として、日本国内で2,200社を超える導入実績があるという。
また、近年特に問題となっている企業へのサイバー攻撃への対応として、CSIRTやSOCを企業内に設置し、SIEM製品を採用するケースが出つつある中で、「Logstorage」はそうしたセキュリティ対策に特化した用途においても的確にニーズを取り入れているという。
「Logstorage」はこれまで、自社開発のログフォーマット圧縮エンジンによる長期間に渡るログの高圧縮保存、および独自技術であるログフォーマット定義を用いた圧縮保存ログに対する高速検索を実現してきたが、今回、ログの収集からインデックスが作成されるまでのタイムラグをなくし、収集時点から即座にインデックスを用いた高速検索が可能となる「リアルタイム・インデックス」機能を実現した。
「Logstorage Ver.6」の主な強化点は次のとおり。
1. インデックスの自動リアルタイム作成による即時高速検索の実現
インデックス機能により、旧バージョン(インデックス未対応)との性能比において、数十~数千倍以上の高速化を実現。特に大量のログからごく少量を見つけ出す検索パターンでは数秒単位での検索が可能(例:60億件中1件の抽出で数秒以内に検索可能)。
最新版ではログの収集時点から即座にインデックスが自動作成され、常に高速検索を体感することが可能。ファイルの持ち出しや不正アクセス、サイバー攻撃による情報漏えい事故・事件といったケースでは、検索対象の期間やログの種類が定まっておらず、「特定ユーザ」や「特定IPアドレス」「ログイン失敗」など怪しいキーワードを含むログだけを急いで抽出する必要があり、このようなケースにおいて特に威力を発揮する。
また、検索結果が大量の場合は、見つかったログから順次表示していく「五月雨検索」機能が追加されたことで、体感的な検索速度も飛躍的に向上している。
2. Logstorage Agent(Java版)の刷新・機能の大幅強化
ログ出力元からLogstorageへリアルタイムかつデータロスト完全防止に対応するログ転送プログラムである「Logstorage Agent」が暗号化通信に正式対応。PCIDSSなどさまざまなセキュリティ・ガイドラインで指摘されている「暗号化」については、これまでロストなくリアルタイムに転送ができる、有効な通信手段が存在しなかった。
暗号化通信に対応することで、「1.リアルタイム転送」「2.データロスト完全防止(LLTP / Logstorage 独自プロトコルによる)」「3.暗号化通信(LLTP over SSL/TLS)」の3つを同時に実現することができる。
さらに、必要とするログだけを転送時点で指定する、あるいは外部スクリプト等によるデータ加工後のログを転送できるなど、Agentの転送時点における機能も強化され、きめ細やかなログ転送の運用が実現可能となった。
3. インデックスを含むログ管理機能の強化
ログ量や、ログフォーマットの変更に伴う圧縮されたログの更新処理など、これまでLogstorageの運用管理者向けの画面は存在していたが、「Logstorage Ver.6」ではインデックスの自動作成機能の提供に伴い、インデックス自身の作成状況の表示や、作成・削除指示機能も追加され、より運用しやすくなった。
