EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

【対談】大量マシンデータをセキュリティに活用する新手法とは?未知の攻撃や内部不正をログから”追いかける”Splunk

  2014/09/30 11:00

Splunkの特徴は「追いかける」――JP1や秘文と連携することでより強力に

安藤:Splunkでいい事例はありますか?

蔵重:システムのトラブルシューティングですが、Splunkを理解するのによい例があります。お客様から「システムがうまく動かない」と相談を受けた時、エンジニアが出向いてログを収集して分析します。かつては個々のログを何時間も分析していました。しかしSplunkですとデータを集約して解析できますから、関係するトランザクションIDやキーワードで検索すると調査が一気に進みます。もともとSplunkはこのように使うための製品でした。

安藤:それは不正調査にも応用できますね。他にも、一般的なセキュリティ製品だと登録されたパターンから情報を検索することが多いのですが、Splunkだとこれまでにないパターンを探すのが得意です。

蔵重:未知の脆弱性でも発見できる可能性があるということですね。

安藤:未知の脆弱性を突かれた場合、そもそも攻撃されているかが気づかないことがあります。

蔵重:脅威と認識されていないから監視していない。監視していないから攻撃されていることも検知できてないということですね。

安藤:どこかで異常な挙動を検知することで調査を開始し、多様なログを時系列で追いかけていくと「ここでおかしな通信が行われている」と気づいて新たな脆弱性の発見につながるというパターンです。

蔵重:Splunkの特徴を表すのに「追いかける」はいいキーワードになりそうですね。

安藤:もとは「洞窟探検」を意味する「spelunking」が語源だそうです。ずいぶん昔ですが、家庭用ゲームなどで「スペランカー」という洞窟を舞台にしたゲームがありました。まさにあのイメージだと思います。

蔵重:そういえば、昔そんなゲームがありましたね(笑)。

安藤:はい、その「スペランカー」です。ただ、ゲームとは直接関係ないようですが(笑)。それでもSplunkが洞窟を探検して宝物を見つけることを目指していることには変わりはありませんよね。ちなみに日立ならではの活用パターンの強みなどはありますか?

蔵重:日立製品との連携ですね。たとえば、統合システム運用管理ツール「JP1」や情報漏洩防止ソリューション「秘文」は特にSplunkと相性が良いと思います。おかげさまでJP1は多くの企業に導入されています。JP1に蓄積された情報があれば、Splunkを用いることでより多くの情報を解析することができます。

▲SplunkとJP1の連携
▲SplunkとJP1製品の連携
▲Splunkと秘文の連携
▲Splunkと秘文製品の連携

安藤:サーバーやパソコンを監視するツールはいろいろとあります。しかし他の形式、特にマシンデータを含めた解析もするとなると、それができるツールはなかなかありません。

蔵重:最近になり状況は変わりつつありますが、かつてはSplunkのような統合的なログ分析はあまり重要視されず、予算が付きにくい時代がありました。

安藤:必要性がなかったのかもしれませんね。データ量が少ないうちは「grep」で足りていましたから。しかし今では監視対象が増え、通信量も増えています。様々な機器のログ、認証ログ、マシンデータも監視対象となるともう「grep」では手に負えません。

蔵重:内部不正対策を考えると多様なログから解析できるようにすることは早期に実現しなくてはいけません。少し前までは権限を与えたユーザーの行動は「統制しようがない」という考えがありました。「権限を与えてしまったのだから」と。

安藤:確かに権限があれば可能となる操作は増えます。しかしログを分析すれば業務に関係のない操作をしていることは少なくとも記録には残ります。

蔵重:「なぜSQLで全件アウトプットしているの?」とかですね。

安藤:操作してすぐにアラートがあがれば、ミスならミスで気づきますしね。「文字列を間違えたら全件ヒットしてしまいました」とか。気づかず放置していると、いつのまにか大量の情報が流出していたということになってしまいます。

蔵重:悪意を抱いても改心させるソフトがあればいいのですが、現実にはそうはいきません。不正が起きればすぐに検知、誤認なら誤認とすぐに分かるような監視の仕組みが実現すれば、それだけでも抑止力になります。すべて止めることは出来なくても、外部から漏洩の事実を指摘されて、対応が後手後手になってしまうような事を避けることは少なくとも出来ますね。

安藤:今後、Splunkをどのように展開していきますか?

蔵重:日立はグループをあげて社会インフラに注力しています。新幹線や飛行機など公共交通機関のマシンデータもSplunkで解析できるようになれば、より安全で安定的な運行ができるようになるかと思います。セキュリティ対策からビッグデータ活用までSplunkは心強いツールになると思います。

■■■  Splunk 関連セミナー 11月21日(金) 開催! ■■■

「内部不正やセキュリティ事件はなぜ防げないのか? ~情報漏えい事件のトレンドと巧妙な攻撃や内部不正を追い詰めるSplunkのログ解析~」

★詳細・お申込み(無料)はこちら⇒ http://www.hitachi-solutions.co.jp/events/2014/splunk1121/



著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5