SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2020レポート

スモールスタートで始めるログ分析 DeNA茂岩氏が実行するためのステップを解説

まずは、適切なログを保存し、整理整頓するところから始める

 次に、加山氏はログ分析の重要性について、企業の中でどのように必要となるのか。そして、具体的に役立つシーンまでを訊いた。

 一般的に、情報セキュリティインシデントは発覚までに時間がかかる傾向にある。インシデントの多くは気づかれず、侵害から判明まで100日以上かかるものが多いという。「外部に指摘されて気がつくのはシステム管理者としては恥ずかしく、できれば自分たちで捉えて被害を抑えたい」と茂岩氏は述べた。昨今のサイバーセキュリティのトレンドでは、侵害は防ぎきれないことを前提とし、「防御」「検知」「対応」のプロセスを組織内で実行していく必要がある。そして、「検知」のためにはログ分析が必須となるのだ。

 「ログ分析は、高度な装置や設備を用意せずとも始められる」と茂岩氏は紹介する。まずは、どのようなデータをどこに保存するか、整理整頓しておく。そうするだけでも、サイバー攻撃を受けた際には迅速な対応が可能だという。例えば、セキュリティ侵害を受け、それによって甚大な被害を受けた場合には警察に被害届を出すこともある。このとき、ログの提出を求められたとしても、必要なデータがどこにあるのか把握できていれば迅速な対応が可能だからだ。茂岩氏は、「ログを保存し検索可能にする。こうしたログ分析のファーストステップに取り組むことは、企業・組織のシステムをサイバー攻撃から守り、迅速に対応するという観点では非常に大事だ」と強調した。

 一方で、実際にログ分析に取り組む上では、難しいと感じる部分も多くある。そこで、「例えば、大量のログの中から重要なものを発見することは難しい。また、新しいツールも次々と出ている状況下で、具体的にどのようにログ分析に取り組んでいるのでしょうか」と加山氏は疑問を投げかけた。

 そこで茂岩氏は、ログ分析をこれから始める人に向けたアドバイスとして、ログ分析のレベルを表したピラミッドを示した。

 最初のレベルは先ほども挙げた「保存」だ。利用しているシステムのログ出力について、デフォルトのままにせず、必要なログを出力する設定にしておき、データが消失することがないようその出力周期や場所も適切に設定する。ディスクが壊れるかもしれないので、保存先の冗長化は必要。攻撃者が痕跡を削除すべくログを消失させたときのためにも、コピーを別の場所にリアルタイム転送しておくなどの仕組みも必要だと、ログを漏らさず保存しておくことの重要性を説いた。

 そして次のレベルは、ログを「集める」こと。問題が起きたときに目的のものをすぐ探せるよう事前に整理整頓をしておくべきだ。さらに次のレベルには「検索」を挙げ、消失せず保存したログを整理整頓し、何かあった場合にすぐに検索できる仕組みを用意しておくと良いと解説した。

 また、このとき使用するツールとしては、オープンソースの「ELK(Elastic Logstash Kibanaスタックの略)」や有償の「Splunk」、「BigQuery(Google Cloudのサービスの1つ)」などがあるが、組織の状況にあわせたものを採用し、検索ができるようにすることで迅速な調査ができるという。より効率化するためには、可視化(グラフ化)や自動化といったレベルへステップアップしていく。

ログ分析のレベルをピラミッド型に落とし込んだ図

ログ分析のレベルをピラミッド型に落とし込んだ図
[画像クリックで拡大]

 また、ログ収集の注意点として、その量に注意すべきだと茂岩氏は指摘する。組織中のログを一箇所にすべて集めるのは、転送量が膨大になった際に送信エラー等で消失リスクが高くなるだけでなく、検索のためのリソースも消費してしまう。茂岩氏は、「まずは、ログ分析で実績を上げるということを目的にして欲しい」といい、組織内で優先度の高いシステムの定義からはじめて、徐々に広めていくべきだとした。

次のページ
リモートワークで分散する端末からのログ収集が困難に

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2020レポート連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13489 2020/10/28 09:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング