EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

【対談】大量マシンデータをセキュリティに活用する新手法とは?未知の攻撃や内部不正をログから”追いかける”Splunk

  2014/09/30 11:00

“データセンターのGoogle”――Splunkの有用性とは?

蔵重:今はログを収集するだけでは足りず、求めている「情報」を導かなくてはなりません。膨大なログから一見関連性のないものと組み合わせて、必要な情報を導き出す技術が必要です。そこに有用なツールとなるのがSplunk(スプランク)です。

▲テキスト形式のあらゆるマシンデータを利用可能
▲テキスト形式のあらゆるマシンデータを利用可能

安藤:Splunkは、「データセンターのGoogle」と呼ばれることもあります。これは、データセンターにある膨大なログから相関分析などで必要な情報を導き出すことも、Splunkならば可能だからと聞いています。

蔵重:そうです。複数のサーバーにあるデータを集約して検索するのが得意な製品です。一般的にログデータというのは製品ごとにフォーマットが異なり、分析するにもデータ長などを揃え、各データの前処理をしないと分析できません。しかしSplunkは日付や文字などデータタイプを自動判別するため、収集したログデータがそのまま解析できます。

 株式会社ブロードバンドセキュリティ 取締役CTO 安藤一憲氏
株式会社ブロードバンドセキュリティ 取締役CTO 安藤 一憲氏

安藤:ファイアウォールのログ、アプリケーションのログ、OSのログ、それぞれ製品ごとにも形式が異なっていますからね。それぞれ、単体で使う分にはいいのですが、集約して全体を分析するとなると難しい。Splunkのいいところはログデータの垣根を取っ払い、全てのデータを飲み込んで処理してくれるところです。

蔵重:複数のデータを組み合わせて情報を導き出すには心強いツールです。さらに言えば時間が含まれるデータを追跡するのが得意です。

▲標的型攻撃を受けた端末の特定
▲標的型攻撃を受けた端末の特定

安藤:内部不正を割り出すようなときは時間が鍵になりますからね。時間の経過とともに起きた変化を追跡すると、不正や攻撃の経緯が徐々に見えてきます。例えば「ある人が出社すると内部からの攻撃が増えている」とかですね。入退室記録とサーバーへの攻撃のログを照らし合わせると、関連性が見えてきたりします。

蔵重:内部調査には重要です。例えば「出社の記録がない社員のアカウントでログインされている」などはとても疑わしい情報となります。ここが不正事実を解明する糸口となります。

安藤:認証記録とほかのデータの照合は重要ですね。どのマシンにどのユーザーでログインして、どのサーバーにアクセスして、どのコマンドを発行したか。時系列で事象を追いかけると不正行為がどのように行われたのかがおおよそ見えてきます。こうした追跡にはSplunkは強いと思います。

蔵重:ここ数年ビッグデータ時代と言われています。それでも、先ほどお話したようにビッグデータも、そのままでは分析できるデータばかりとは限りません。データの絶対量が多くなるわけですから、使える形式に変換したり、判別したりするデータ分析の前処理の負荷は大きくなります。

安藤:そうですね。データは単に集めればいいというものではありませんね。何と何を照合すればいいのかも重要です。

蔵重:そこはある程度人間の経験と知恵から培われた勘になりますが、Splunkがあることによって技術者はデータの前処理などの作業から解放されるので、短期間で経験値を得やすくなる効果があると思います。

■■■  Splunk 関連セミナー 11月21日(金) 開催! ■■■

「内部不正やセキュリティ事件はなぜ防げないのか? ~情報漏えい事件のトレンドと巧妙な攻撃や内部不正を追い詰めるSplunkのログ解析~」

★詳細・お申込み(無料)はこちら⇒ http://www.hitachi-solutions.co.jp/events/2014/splunk1121/


著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5