情報セキュリティコラム第27回

ログの活用はできていますか?

情報漏えいの兆候把握、攻撃の早期検知に役立つログ管理の勧め

  1. トップ
  2. 情報セキュリティコラム「The ANGLE」
  3. 第27回 ログの活用はできていますか?

NECソリューションイノベータ株式会社 デジタル基盤事業部の森雄喜です。
私は現在、ログの管理や分析を行う製品を使ったソリューションの提案や構築に携わっています。
みなさんは、ログの管理というと何を思い浮かべるでしょうか。ログの管理とはパソコンやサーバ、ネットワーク機器、ソフトウェアなどに関する利用状況や履歴を記録として取得し、保管することを指します。ログの取得対象は様々ですが、オンプレミスの環境だけでなくクラウド環境も対象に含まれます。また、ログの管理をする目的としては「セキュリティ対策」、「監査対応」、「IT統制」などがよく挙げられ、複数の用途でログの管理がなされています。

本コラムでは「セキュリティ対策」を目的としたログ管理に焦点をあて、サイバー攻撃の早期検知などセキュリティインシデント対応に不可欠なログ管理の重要性、そしてログ管理の仕組みをどのように導入し活用していけばよいかを説明したいと思います。

ログ管理の概要

図1:ログ管理の概要

サイバーセキュリティ対策におけるログ管理の重要性

最初に、JPCERT/CCの「高度サイバー攻撃への対処におけるログの活用と分析方法 1.1版」(*1)の以下の記載を紹介します。

このように高度サイバー攻撃は、巧妙になってきており、ウイルス対策ソフトやFirewallなどの従来の方法だけでは不十分になってきています。いわゆる「システムの監視」が重要になってきていて、その方法として「ログ管理」がポイントになってきています。従来の方法ではシステムの利用者が攻撃に気が付かないことがあるため、その対策としてログ管理が注目を浴びています。

また、「NIST SP800-92 コンピュータセキュリティログ管理ガイド(日本語訳)」(*2)ではログ管理について以下のように記載されています。

このようにログ管理の用途やメリットは多岐に渡ることが示されています。
特にセキュリティ観点でのメリットとしては、例えば脆弱性を突かれた攻撃が発生しても、通信ログをはじめとした必要なログを取っていれば、流出した情報や原因の特定、スムーズなフォレンジック調査の実施、さらにインシデント発生に伴う関係各所への通知も正確に行うことができます。またログの定期チェックを行うことでマルウェア感染を早期検知、被害拡大を最小化することもできます。
これらを実現するためには、ログ管理の仕組みが構築されていること、ログを分析するための技術的知識が組織に蓄積されていること、万が一インシデントが発生した場合でもログからインシデントの原因を早期に特定するための運用体制が整備されていることが大切です。

インシデント事例にみるログ管理の重要性

ではログ管理が十分に行われていなかった場合、どのような影響が出るのか実際のインシデント事例を交えて説明します。

ログ管理や分析の必要性が説明されている「サイバーセキュリティ経営ガイドライン Ver2.0」(*3)の「指示5 サイバーセキュリティリスクに対応するための仕組みの構築」では、"対策を怠った場合のシナリオ"として以下の記述があります。


本シナリオを実際の事例で説明します。

  • 運営するウェブサイトが不正アクセスを受けて改ざんされていた。ログを保存していたものの、保存期間の設定が短かったことで、十分な調査ができず攻撃発生当時の原因や影響範囲の特定ができなかった。

この事例は技術的なセキュリティ対策は行っていたものの、必要なログ保存期間が短かったことで調査など本来実施すべきであったインシデント対応が出来なかったケースです。サイバー攻撃を受けた場合の原因や被害範囲の特定のためには、十分な期間のログを保存すること以外にも、様々な機器をまたがり横断的に分析するためにログを取得する対象機器や種類など、攻撃を受けた場合に実施する調査を想定したログ管理の仕組みを構築することが重要です。

ログ管理製品の必要性

良いログ管理の仕組みを構築するためには、ログを深く知ることが必要です。
ここでは1例として、WindowsOSのイベントログ(セキュリティ)を使ってサイバー攻撃の痕跡確認などを行う際の具体的なログ分析の方法をお話しします。

WindowsOS上で発生したイベントは、Windows標準のロギングシステムであるイベントログに記載され、イベントビューアー(eventvwr)と呼ばれるツールで確認や設定ができます。

ログのプロパティの例

イベントビューアーとログのプロパティ

図2:イベントビューアーとログのプロパティ

Windowsのイベントログには複数のカテゴリ(アプリケーション、システム、セキュリティなど)があり、カテゴリ別に「ログの保存場所」、「ログの最大サイズ」、「ログが最大サイズに達したときの動作」などを設定できます。
手動でログ管理のシステムを構築する場合はSFTPなどでログ管理サーバへイベントログを定期的に送信し、ログ管理サーバ上でテキストデータにパースしたものを定期監視するといった手法がとられます。
図3はPythonを使ってテキストデータにパースしたセキュリティログをevent code(eventIDと記載)ごとにファイル出力した結果です。このようにeventID毎にデータを整理すると、サイバー攻撃を受けた場合にマルウェアの痕跡が残っている可能性のあるeventID(4624や4625など)を対象に確認を行うといった使い方ができます。

PythonスクリプトでEvtxモジュールをインポートしている様子(左)。テキストデータにパースしたセキュリティログをevent code(eventIDと記載)ごとにファイルに出力している様子(右)

Pythonスクリプトと出力結果

図3:Pythonスクリプトと出力結果

見るべきログが少数であれば以上のような手作業を主とした方法でも対応はできますが、対象の機器が多くなればなるほど機器の種別やOS、メーカによってログの形式やフォーマットが異なるため、タイムゾーンやフォーマットを統一する作業も発生し、ログの管理は大変になります。
例えば認証に関するログでは、Windowsの場合はイベントログ(セキュリティ)にまとめて出力されますが、Linuxの場合はプロトコル毎にログが出力されるファイルやフォーマットが異なるなどの違いがあります。また、分析や運用監視の対象としてよく挙がるプロキシサーバのログの場合は、代理するプロトコルが何で、どこのセグメントからの通信を代理するのかなどの様々なプロキシ設定を予め理解したうえで、ログの出力方法・出力形式を確認する必要があります。
ログに関するこのような背景から、インシデント発生時などに検索がしやすく、迅速に状況を把握するために必要な「ログが一元的に適切に管理されていること」を効率的に実現する手段として、ログ管理製品の導入を推奨します。特に、有償のログ管理製品は多数のログフォーマットに標準で対応しており、レポーティング機能が充実している、という特長があります。

ログ管理製品のご紹介

ログ管理製品として、Splunk社が開発しているSplunkやインフォサイエンス社が開発しているLogstorage、インテック社のLogReviといった製品が挙げられますが、今回はSplunkとLogstorageを例にツールの使い勝手を説明します。

SplunkとLogstorageは、ともにログを収集・管理・分析するための有償製品です。
Splunkは自前でダッシュボードを作ったり、クエリを自前で作ったりなど応用範囲が広いことがメリットですが、Search Proccessing Language(SPL)というSplunk社独自のサーチ言語を使う必要があるため、導入にあたっては自社でCSIRTやセキュリティ専任者が必要となるケースが多いです。

SplunkのSPLによる検索とダッシュボード

SplunkのSPLによる検索とダッシュボード

図4:SplunkのSPLによる検索とダッシュボード

一方でLogstorageはUIがわかりやすく初心者でも使いやすいことから運用が容易と評判です。また国産の統合ログ管理ツールであることも魅力の一つです。自組織でCSIRTを持っていない組織にオススメです。

Logstorageによる表集計とグラフ集計①

図5:Logstorageによる表集計とグラフ集計①

Logstorageによる表集計とグラフ集計②

図6:Logstorageによる表集計とグラフ集計②

このようにSplunkやLogstorageなどを活用することで、前述した「ログが一元的に適切に管理されていること」を効率的に実現可能です。
ただし、実現するためにはログ管理を行う目的の明確化と、現在のシステム環境にて収集出来ているログ、不足しているログ、分析したい内容はどのようなものか、などログ管理業務の要件決めが最初に必要です。最後にその内容について触れたいと思います。

当社のログ管理基盤構築ソリューションのご紹介

ログ管理は、収集や保存に注目が集まりがちですが、必要な情報を必要な時に効率的に取り出し、組織として活用することがその価値であり、そのためにはインシデント発生などに備えて自組織で活用、運用できるようにしておくことがポイントです。

そのためには、最初にログ管理の目的などを含めた業務要件の定義が欠かせません。ログ管理の活用シナリオを整理し、そのために必要なログは何かを明確にします。
この業務要件を疎かにすると、いざインシデントが起きたときに、実は収集が必要であったログの一部が取れていない、期待していたような分析が行えない、などの問題が発生します。このフェーズを確実に実施するためには、それぞれのログに何が記録されているのかを理解することが重要であり、ログ管理に関する専門知識や経験、ノウハウが必要になる作業です。
当社では、ログ管理の目的などを含めた業務要件の定義として、自社環境のガイドラインやセキュリティポリシーの確認から収集対象のログの選定、ログ管理方法(ログ管理シナリオ)の整理まで一貫してサポートしています。

次に、定義した業務要件を元にシステム要件を策定します。
このフェーズでは収集対象の機器のログフォーマットの明確化や、運用も含めてどのような分析レポートを出すのかなどを、製品機能を踏まえながら検討していくことなります。また、製品機能だけでは対応できない部分をどのように実装するかについても検討します。

具体的には以下のような内容です。

ログ管理システム要件の策定

図7:ログ管理システム要件の策定

このようにお客様の運用や環境に基づくシステムとして十分な検討を行い実装することで、ログ管理の価値である「必要な情報を必要な時に効率的に取り出し、組織として活用すること」が出来るようになります。

当社のログ管理の構築実績は100システム以上あり、「お客様ご自身で必要な時に必要なログをご活用いただけること」を目指して、ログ管理に関する経験やノウハウの豊富なエンジニアがご提案、構築を行っています。
お客様のご要望や環境に応じて詳細な要件を選定する個別カスタマイズのご対応はもちろんですが、当社のログ活用ノウハウを元に作成した標準テンプレートを使うことでコストと期間を抑えた導入が実現できる構築パック「NEC SIソリューション「Logstorage 構築パック」」もご用意しています。
本コラムが当社のソリューションにご興味を持って頂くきっかけになれば幸いです。是非お気軽にご相談ください。

NEC SIソリューション「Logstorage 構築パック」

適切なログ管理によりサイバー攻撃や内部不正の迅速な事態把握をサポート。お客様やステークホルダーへの説明などインシデント後の対応にも役立てられます。

掲載日:2022年3月30日
森 雄喜(もり ゆうき)

執筆者プロフィール

森 雄喜(もり ゆうき)

所属:NECソリューションイノベータ株式会社 デジタル基盤事業部
入社半年後より即時にサイバーセキュリティの最前線へ配属され、フォレンジックやログ解析、マルウェア解析の他、サーバのハードニングなどに従事。現在は、現場経験を活かしたSIEMの構築支援などセキュリティを付加価値としたサービス提案のほか、コンテナセキュリティやマイクロサービスの開発に取り組んでいる。

本コラムの関連製品

Logstorage

Logstorage

統合ログ管理システム「Logstorage」。
サイバー攻撃や内部脅威から組織とクラウドを守る。

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ対応のポイント リーフレット

サイバーセキュリティ対応のポイント リーフレット

NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • Check Point Media Encryption リーフレット

    Check Point Media Encryption(A4・全2ページ)

  • Check Point Full Disk Encryption リーフレット

    Check Point Full Disk Encryption(A4・全2ページ)

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • BlackBerry Protect リーフレット

    BlackBerry Protect(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策リーフレット

    Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ

サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。