EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

スモールスタートで始めるログ分析 DeNA茂岩氏が実行するためのステップを解説

edited by Security Online   2020/10/28 09:00

まずは、適切なログを保存し、整理整頓するところから始める

 次に、加山氏はログ分析の重要性について、企業の中でどのように必要となるのか。そして、具体的に役立つシーンまでを訊いた。

 一般的に、情報セキュリティインシデントは発覚までに時間がかかる傾向にある。インシデントの多くは気づかれず、侵害から判明まで100日以上かかるものが多いという。「外部に指摘されて気がつくのはシステム管理者としては恥ずかしく、できれば自分たちで捉えて被害を抑えたい」と茂岩氏は述べた。昨今のサイバーセキュリティのトレンドでは、侵害は防ぎきれないことを前提とし、「防御」「検知」「対応」のプロセスを組織内で実行していく必要がある。そして、「検知」のためにはログ分析が必須となるのだ。

 「ログ分析は、高度な装置や設備を用意せずとも始められる」と茂岩氏は紹介する。まずは、どのようなデータをどこに保存するか、整理整頓しておく。そうするだけでも、サイバー攻撃を受けた際には迅速な対応が可能だという。例えば、セキュリティ侵害を受け、それによって甚大な被害を受けた場合には警察に被害届を出すこともある。このとき、ログの提出を求められたとしても、必要なデータがどこにあるのか把握できていれば迅速な対応が可能だからだ。茂岩氏は、「ログを保存し検索可能にする。こうしたログ分析のファーストステップに取り組むことは、企業・組織のシステムをサイバー攻撃から守り、迅速に対応するという観点では非常に大事だ」と強調した。

 一方で、実際にログ分析に取り組む上では、難しいと感じる部分も多くある。そこで、「例えば、大量のログの中から重要なものを発見することは難しい。また、新しいツールも次々と出ている状況下で、具体的にどのようにログ分析に取り組んでいるのでしょうか」と加山氏は疑問を投げかけた。

 そこで茂岩氏は、ログ分析をこれから始める人に向けたアドバイスとして、ログ分析のレベルを表したピラミッドを示した。

 最初のレベルは先ほども挙げた「保存」だ。利用しているシステムのログ出力について、デフォルトのままにせず、必要なログを出力する設定にしておき、データが消失することがないようその出力周期や場所も適切に設定する。ディスクが壊れるかもしれないので、保存先の冗長化は必要。攻撃者が痕跡を削除すべくログを消失させたときのためにも、コピーを別の場所にリアルタイム転送しておくなどの仕組みも必要だと、ログを漏らさず保存しておくことの重要性を説いた。

 そして次のレベルは、ログを「集める」こと。問題が起きたときに目的のものをすぐ探せるよう事前に整理整頓をしておくべきだ。さらに次のレベルには「検索」を挙げ、消失せず保存したログを整理整頓し、何かあった場合にすぐに検索できる仕組みを用意しておくと良いと解説した。

 また、このとき使用するツールとしては、オープンソースの「ELK(Elastic Logstash Kibanaスタックの略)」や有償の「Splunk」、「BigQuery(Google Cloudのサービスの1つ)」などがあるが、組織の状況にあわせたものを採用し、検索ができるようにすることで迅速な調査ができるという。より効率化するためには、可視化(グラフ化)や自動化といったレベルへステップアップしていく。

ログ分析のレベルをピラミッド型に落とし込んだ図

ログ分析のレベルをピラミッド型に落とし込んだ図
[画像クリックで拡大]

 また、ログ収集の注意点として、その量に注意すべきだと茂岩氏は指摘する。組織中のログを一箇所にすべて集めるのは、転送量が膨大になった際に送信エラー等で消失リスクが高くなるだけでなく、検索のためのリソースも消費してしまう。茂岩氏は、「まずは、ログ分析で実績を上げるということを目的にして欲しい」といい、組織内で優先度の高いシステムの定義からはじめて、徐々に広めていくべきだとした。


著者プロフィール

  • 森 英信(モリ ヒデノブ)

    スマホアプリやWebサイト、出版物といったコンテンツの企画制作を手がける株式会社アンジーの代表。写真加工アプリ「MyHeartCamera」「PicoSweet」など、提供するアプリは1100万以上のインストールを獲得。2019年にはAR(拡張現実)プログラムに関する特許を取得。自身はITやHRなどの取材記事ライター・編集者としても活動。趣味は英語学習(TOEIC L&Rスコア845)。

  • 関口 達朗(セキグチ タツロウ)

    フリーカメラマン 1985年生まれ。 東京工芸大学芸術学部写真学科卒業。大学卒業後、小学館スクウェア写真事業部入社。契約満期後、朝日新聞出版写真部にて 政治家、アーティストなどのポートレートを中心に、物イメージカットなどジャンルを問わず撮影。現在自然を愛するフリーカメラマンとして活動中。

バックナンバー

連載:Security Online Day 2020レポート

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5