【対談】大量マシンデータをセキュリティに活用する新手法とは？未知の攻撃や内部不正をログから”追いかける”Splunk

セキュリティ対策は“マシンデータも活用する”という時代

蔵重：現在の企業を取り巻くセキュリティについて見てみますと、かつての脅威はメールでマルウェアを単純に一斉送信するような単純な手法が主でしたが、昨今では標的型など手口が巧妙化・多様化しています。また悪意を持つ内部の人間が情報漏えいを起こす事件も起きており、不正行為対策も重要な課題です。内部の人間による情報流出は、外部からの脅威を想定したセキュリティ対策製品だけでは効果は期待できません。また、ログを定期的に監査すれば、不審な動きを把握することができますが、それも既存のログ管理の仕組みで特定のコンピューターのログを追うだけでは突き止められません。攻撃者や内部不正の犯行者はネットワーク、サーバ、PCほかの各機器から巧妙に弱点を見つけ、そこから誰にも知られずに必要な情報を抜き取ってしまうからです。

安藤：サーバーやパソコンといったコンピューターのなりすましもありますし、パターンファイルを更新していないOSのままだと狙われて情報を吸い上げられてしまうことがありますから。例えばコピー機など、ネットワークに接続しているありとあらゆる機器を監視する必要があります。

蔵重：内部不正対策のための監視となりますと、監視カメラの映像や社員の入退出記録も有用ですね。サーバーへの不正アクセスが起きたログと照らし合わせて容疑者を割り出していく必要があるからです。セキュリティ対策は入退出記録のようなマシンデータも活用するという時代です。

安藤：セキュリティ対策を施す対象がよりいっそう広くなってきていますね。例えばデータベースへの入出力記録だけでは流出したことは分かっても、PCなどのUSBポートから外部のデバイスに抜き出されてはその後、どこに流出したのか突き止められませんから。

蔵重：それを防ぐには、日立の情報漏えい防止ソリューション「秘文」でPCのUSBポートを含めて外部デバイスの利用を禁止したり、ログを取得する必要がでてきます（笑）。

安藤：これほどに監視対象が広がると、データ量もまた膨大になります。全体をくまなく把握するとすれば、数GBが2～3桁増えるくらいではないでしょうか。こうなると以前のように検索コマンド「grep」で調べるには限界があります。

蔵重：これまではデータを追跡するにはサーバーごとに「grep」で検索をかけるのが一般的でした。ただし、サーバーが20台あれば20台分作業が必要です。地道で根気のいる作業が必要ですし、時間もかかります。

安藤：かつてはファイアウォールのデータを監視すれば十分でした。しかし今は内部のパソコンがマルウェアに感染し、巧妙に乗っ取られてしまうこともあります。そのため、内部にあるパソコンの挙動も常に監視しなくてはいけません。ありとあらゆる情報を集めて照合しながら追跡していく必要があります。

“データセンターのGoogle”――Splunkの有用性とは？

蔵重：今はログを収集するだけでは足りず、求めている「情報」を導かなくてはなりません。膨大なログから一見関連性のないものと組み合わせて、必要な情報を導き出す技術が必要です。そこに有用なツールとなるのがSplunk（スプランク）です。

安藤：Splunkは、「データセンターのGoogle」と呼ばれることもあります。これは、データセンターにある膨大なログから相関分析などで必要な情報を導き出すことも、Splunkならば可能だからと聞いています。

蔵重：そうです。複数のサーバーにあるデータを集約して検索するのが得意な製品です。一般的にログデータというのは製品ごとにフォーマットが異なり、分析するにもデータ長などを揃え、各データの前処理をしないと分析できません。しかしSplunkは日付や文字などデータタイプを自動判別するため、収集したログデータがそのまま解析できます。

安藤：ファイアウォールのログ、アプリケーションのログ、OSのログ、それぞれ製品ごとにも形式が異なっていますからね。それぞれ、単体で使う分にはいいのですが、集約して全体を分析するとなると難しい。Splunkのいいところはログデータの垣根を取っ払い、全てのデータを飲み込んで処理してくれるところです。

蔵重：複数のデータを組み合わせて情報を導き出すには心強いツールです。さらに言えば時間が含まれるデータを追跡するのが得意です。

安藤：内部不正を割り出すようなときは時間が鍵になりますからね。時間の経過とともに起きた変化を追跡すると、不正や攻撃の経緯が徐々に見えてきます。例えば「ある人が出社すると内部からの攻撃が増えている」とかですね。入退室記録とサーバーへの攻撃のログを照らし合わせると、関連性が見えてきたりします。

蔵重：内部調査には重要です。例えば「出社の記録がない社員のアカウントでログインされている」などはとても疑わしい情報となります。ここが不正事実を解明する糸口となります。

安藤：認証記録とほかのデータの照合は重要ですね。どのマシンにどのユーザーでログインして、どのサーバーにアクセスして、どのコマンドを発行したか。時系列で事象を追いかけると不正行為がどのように行われたのかがおおよそ見えてきます。こうした追跡にはSplunkは強いと思います。

蔵重：ここ数年ビッグデータ時代と言われています。それでも、先ほどお話したようにビッグデータも、そのままでは分析できるデータばかりとは限りません。データの絶対量が多くなるわけですから、使える形式に変換したり、判別したりするデータ分析の前処理の負荷は大きくなります。

安藤：そうですね。データは単に集めればいいというものではありませんね。何と何を照合すればいいのかも重要です。

蔵重：そこはある程度人間の経験と知恵から培われた勘になりますが、Splunkがあることによって技術者はデータの前処理などの作業から解放されるので、短期間で経験値を得やすくなる効果があると思います。

Splunkの特徴は「追いかける」――JP1や秘文と連携することでより強力に

安藤：Splunkでいい事例はありますか？

蔵重：システムのトラブルシューティングですが、Splunkを理解するのによい例があります。お客様から「システムがうまく動かない」と相談を受けた時、エンジニアが出向いてログを収集して分析します。かつては個々のログを何時間も分析していました。しかしSplunkですとデータを集約して解析できますから、関係するトランザクションIDやキーワードで検索すると調査が一気に進みます。もともとSplunkはこのように使うための製品でした。

安藤：それは不正調査にも応用できますね。他にも、一般的なセキュリティ製品だと登録されたパターンから情報を検索することが多いのですが、Splunkだとこれまでにないパターンを探すのが得意です。

蔵重：未知の脆弱性でも発見できる可能性があるということですね。

安藤：未知の脆弱性を突かれた場合、そもそも攻撃されているかが気づかないことがあります。

蔵重：脅威と認識されていないから監視していない。監視していないから攻撃されていることも検知できてないということですね。

安藤：どこかで異常な挙動を検知することで調査を開始し、多様なログを時系列で追いかけていくと「ここでおかしな通信が行われている」と気づいて新たな脆弱性の発見につながるというパターンです。

蔵重：Splunkの特徴を表すのに「追いかける」はいいキーワードになりそうですね。

安藤：もとは「洞窟探検」を意味する「spelunking」が語源だそうです。ずいぶん昔ですが、家庭用ゲームなどで「スペランカー」という洞窟を舞台にしたゲームがありました。まさにあのイメージだと思います。

蔵重：そういえば、昔そんなゲームがありましたね（笑）。

安藤：はい、その「スペランカー」です。ただ、ゲームとは直接関係ないようですが（笑）。それでもSplunkが洞窟を探検して宝物を見つけることを目指していることには変わりはありませんよね。ちなみに日立ならではの活用パターンの強みなどはありますか？

蔵重：日立製品との連携ですね。たとえば、統合システム運用管理ツール「JP1」や情報漏洩防止ソリューション「秘文」は特にSplunkと相性が良いと思います。おかげさまでJP1は多くの企業に導入されています。JP1に蓄積された情報があれば、Splunkを用いることでより多くの情報を解析することができます。

安藤：サーバーやパソコンを監視するツールはいろいろとあります。しかし他の形式、特にマシンデータを含めた解析もするとなると、それができるツールはなかなかありません。

蔵重：最近になり状況は変わりつつありますが、かつてはSplunkのような統合的なログ分析はあまり重要視されず、予算が付きにくい時代がありました。

安藤：必要性がなかったのかもしれませんね。データ量が少ないうちは「grep」で足りていましたから。しかし今では監視対象が増え、通信量も増えています。様々な機器のログ、認証ログ、マシンデータも監視対象となるともう「grep」では手に負えません。

蔵重：内部不正対策を考えると多様なログから解析できるようにすることは早期に実現しなくてはいけません。少し前までは権限を与えたユーザーの行動は「統制しようがない」という考えがありました。「権限を与えてしまったのだから」と。

安藤：確かに権限があれば可能となる操作は増えます。しかしログを分析すれば業務に関係のない操作をしていることは少なくとも記録には残ります。

蔵重：「なぜSQLで全件アウトプットしているの？」とかですね。

安藤：操作してすぐにアラートがあがれば、ミスならミスで気づきますしね。「文字列を間違えたら全件ヒットしてしまいました」とか。気づかず放置していると、いつのまにか大量の情報が流出していたということになってしまいます。

蔵重：悪意を抱いても改心させるソフトがあればいいのですが、現実にはそうはいきません。不正が起きればすぐに検知、誤認なら誤認とすぐに分かるような監視の仕組みが実現すれば、それだけでも抑止力になります。すべて止めることは出来なくても、外部から漏洩の事実を指摘されて、対応が後手後手になってしまうような事を避けることは少なくとも出来ますね。

安藤：今後、Splunkをどのように展開していきますか？

蔵重：日立はグループをあげて社会インフラに注力しています。新幹線や飛行機など公共交通機関のマシンデータもSplunkで解析できるようになれば、より安全で安定的な運行ができるようになるかと思います。セキュリティ対策からビッグデータ活用までSplunkは心強いツールになると思います。