ログの活用の課題
情報流出などセキュリティインシデントが発生すると、様々な観点でセキュリティ対策を強化する取り組みが行われます。そのひとつは監査ログをこれまで以上にしっかりと取得するというものです。この大方針・目的自体はよいことなのですが、事故直後は、しばしば「やりすぎでは?」とさえ思える傾向になり、結局プロジェクトが頓挫するケースがあります。
たとえば、「ファイルを新規作成した・開いた・編集した・削除した」などユーザーの一挙手一投足をすべてログに書き出すというような要件です。合理的なコストで構築でき、また、このログから効果的な分析ができればこうした目標も意義があるでしょう。
しかし、実際には、あまりにも大量のログが生成され、それを保存するためのストレージが非常に大容量のものが必要になることが机上の計算でも分かってくるようになります。そして、それを実現するためのハードウェアのコストも必然的に高くなります。また、採取した大量のログも何を重点的に見ればよいかも分からないままになります。その結果、前述のとおり、プロジェクト検討途中で現実的ではないとの判断に至るのです。
こうした事例に限らず、ログの活用については古くから課題があります。サイバー攻撃の脅威が現実の今、ログの効果的な活用を検討するにあたって2点課題をとりあげたいと思います。
