まずは、適切なログを保存し、整理整頓するところから始める
次に、加山氏はログ分析の重要性について、企業の中でどのように必要となるのか。そして、具体的に役立つシーンまでを訊いた。
一般的に、情報セキュリティインシデントは発覚までに時間がかかる傾向にある。インシデントの多くは気づかれず、侵害から判明まで100日以上かかるものが多いという。「外部に指摘されて気がつくのはシステム管理者としては恥ずかしく、できれば自分たちで捉えて被害を抑えたい」と茂岩氏は述べた。昨今のサイバーセキュリティのトレンドでは、侵害は防ぎきれないことを前提とし、「防御」「検知」「対応」のプロセスを組織内で実行していく必要がある。そして、「検知」のためにはログ分析が必須となるのだ。
「ログ分析は、高度な装置や設備を用意せずとも始められる」と茂岩氏は紹介する。まずは、どのようなデータをどこに保存するか、整理整頓しておく。そうするだけでも、サイバー攻撃を受けた際には迅速な対応が可能だという。例えば、セキュリティ侵害を受け、それによって甚大な被害を受けた場合には警察に被害届を出すこともある。このとき、ログの提出を求められたとしても、必要なデータがどこにあるのか把握できていれば迅速な対応が可能だからだ。茂岩氏は、「ログを保存し検索可能にする。こうしたログ分析のファーストステップに取り組むことは、企業・組織のシステムをサイバー攻撃から守り、迅速に対応するという観点では非常に大事だ」と強調した。
一方で、実際にログ分析に取り組む上では、難しいと感じる部分も多くある。そこで、「例えば、大量のログの中から重要なものを発見することは難しい。また、新しいツールも次々と出ている状況下で、具体的にどのようにログ分析に取り組んでいるのでしょうか」と加山氏は疑問を投げかけた。
そこで茂岩氏は、ログ分析をこれから始める人に向けたアドバイスとして、ログ分析のレベルを表したピラミッドを示した。
最初のレベルは先ほども挙げた「保存」だ。利用しているシステムのログ出力について、デフォルトのままにせず、必要なログを出力する設定にしておき、データが消失することがないようその出力周期や場所も適切に設定する。ディスクが壊れるかもしれないので、保存先の冗長化は必要。攻撃者が痕跡を削除すべくログを消失させたときのためにも、コピーを別の場所にリアルタイム転送しておくなどの仕組みも必要だと、ログを漏らさず保存しておくことの重要性を説いた。
そして次のレベルは、ログを「集める」こと。問題が起きたときに目的のものをすぐ探せるよう事前に整理整頓をしておくべきだ。さらに次のレベルには「検索」を挙げ、消失せず保存したログを整理整頓し、何かあった場合にすぐに検索できる仕組みを用意しておくと良いと解説した。
また、このとき使用するツールとしては、オープンソースの「ELK(Elastic Logstash Kibanaスタックの略)」や有償の「Splunk」、「BigQuery(Google Cloudのサービスの1つ)」などがあるが、組織の状況にあわせたものを採用し、検索ができるようにすることで迅速な調査ができるという。より効率化するためには、可視化(グラフ化)や自動化といったレベルへステップアップしていく。
[画像クリックで拡大]
また、ログ収集の注意点として、その量に注意すべきだと茂岩氏は指摘する。組織中のログを一箇所にすべて集めるのは、転送量が膨大になった際に送信エラー等で消失リスクが高くなるだけでなく、検索のためのリソースも消費してしまう。茂岩氏は、「まずは、ログ分析で実績を上げるということを目的にして欲しい」といい、組織内で優先度の高いシステムの定義からはじめて、徐々に広めていくべきだとした。
