弊社ではインシデント発生時の事故調査サービスを提供していますが、調査時に必要なログが残っておらず調査ができない!という状況は珍しいことではありません。そのような状況を解決するべく、事前にお客様のログの取得状況をチェックし、現状の把握と改善を支援させていただく「ログ設定診断」サービスをこの度リリースいたしました。
本ブログでは、ログ管理におけるよくある課題と本サービスが解決できることをご紹介しますので、インシデント対策をご検討中のお客様には、ぜひご一読いただけますと幸いです。
事故調査におけるログの重要性
さて、あらためてログとはなんでしょうか?
この言葉は一般的に使われているので、普段は意識せずに使っていると思いますが、IT業界でいうログとは、システムの稼働状況やログイン・ログアウト、外部との通信、社内の通信などの履歴を記録したものです。ドラマなどで、パソコンの黒い画面に数字やアルファベットの羅列が映っているのを見たことがありませんか?それがログの一例です。数字と文字の記録を時系列で分析することにより、いつ、だれが、何をしたかがわかる、というものです。
インシデント発生時の事故調査では、お客様環境で保持されている様々なログを元に、なにが起きたのかを確認します。十分なログが残っていれば、侵入経路、情報漏洩の有無、漏えい件数、被害拡大の可能性など、記録された痕跡を調査することで様々な情報を得ることができます。
このように、ログは有事の際の調査においてとても重要なファクターですが、逆に言えばインシデント発生前の一定期間を含む、事故発生前後のログがなければ調査のしようがありません。にも関わらず、我々がお客様から実際にお聞きするのは、「ログは取得しているつもりだけれど、ベンダーに初期設定を任せたまま確認していないのでよくわからない」、といったお声です。
ログの取り扱いはなぜ難しい?
そもそもの話、なぜログの取り扱いは難しいのでしょうか?
以下に主な要因をあげてみます。
- 種類が多い
-
企業内には、サーバ、ファイアウォール、VPN、セキュリティツールなど様々なIT機器がありますが、機器の種類やメーカーによってログの形式が異なります。syslog形式のような標準的なものもありますが、生成元ごと独自形式であることが多いです。また、機器によって、アクセスログ、イベントログなど、出力するログの種類が異なり見るべきポイントが異なります。
- 分散している
-
ログは機器ごとに出力されるため各所に分散しています。一か所に集約して一元管理したいところですが、多様なログを一貫性のあるフォーマットに変換して見やすい状態にするには、専門的な知識が必要です。細かな話でいうと、各ログのタイムスタンプにずれが生じると時系列が正しく分析できなくなるなど、ログが分散していることから生じる課題もあります。
- 量が膨大
-
ログは常に出力され続けるため、管理対象機器の数が増えれば増えるほどログの量も比例して多くなり、膨大な量になります。ログを保存するストレージがいっぱいになってしまうと、上書きされてしまい古いログは消えてしまいます。また、機器あるいはメーカーによって、初期設定の保存期間が異なるため、導入段階で適切な設定に変更する必要があります。
このような要因によりログの取り扱いが難しくなっています。
ログ取得における課題とは?
では次に、事故発生時に必要なログは、なぜ残っていないのでしょうか?
よくあるのは以下のケースです。
- ログの設定が、工場出荷時の初期状態のままで運用されている
- ログ取得を行う際に、ログの設定を組織や対象機器の役割に合わせて調整できていない
こうした状況により、以下のような問題が起きます。
- 保存するログ項目が不足
-
初期状態では必要な項目が取得されていない設定になっている場合があります。メーカーからすると一般的な組織を基準にログ項目を決定しますが、組織によってはその項目では不十分である可能性があります。
- 保有する期間が不適切
-
ログの保有期間はログを保存する記憶領域の容量に依存しますが、メーカーからすると費用を抑えるために低めに設定されている場合があり、事故調査の際に不足しているケースが多いです。
- 保存する場所が不適切
-
通常は対象機器の内部に保存しているケースが多いので、侵入された場合、ログの消去や改ざん、暗号化されてしまう可能性があります。障害復旧にログを利用する場合は、バックアップデータの保存と同等の検討(別のログサーバに保存する、オフラインメディアに保存する等)が必要です。
このように初期設定のままで運用しているがために、保存すべきログが残っていない、という状況が起きてしまうのです。もしかすると、うちの会社でも初期設定のまま運用しているのではないだろうか?と思われた方、心当たりがあるという方は、これからご紹介するログ設定診断サービスを是非ご検討ください。
ログ設定診断サービスのご紹介
ログ設定診断ではなにができる?
ログ設定診断サービスでは、お客様のログ取得状況を確認し、改善点とあわせてご報告させていただきます。
- 現在の貴社の各種システムのログの設定状況を確認します
- 現在取得できているログの有効性を確認します
- 貴社のログの状況からインシデント時に判断可能な内容を明示します
- 現状のログ管理について改善点を提示させていただきます
- うちの会社、初期状態のまま運用しているかもしれないから、ちょっと調べてみたいなという方
- インシデント発生時にどんな情報が必要になるのか、それが自社にあるのかわからないという方
- ログ取得はしているつもりだけれど、ちゃんと設定できているのか一度確認してみたいという方
本サービスにて解決できますので、是非ご検討ください。
サービスのメリットは?
ログに関するサービスは他にもありますが、ログ設定診断サービスならではのメリットとして、以下があげられます。
- 手軽に導入できる
-
本サービスは、まず現状の把握をしましょう!という位置づけであり、事前の準備が不要です。また、サーバ1台からでもお申込みいただけるお手軽なサービスとなっており、サーバ1台の場合、費用は40万円、納品までの期間は約1.5か月です。ログ活用の第一歩としてぜひご検討ください。
- ご担当者様が把握していなくても相談可能
-
ベンダーに初期設定を任せっきりで、ログ画面の見方をご担当者様が把握していない場合もご安心ください。マニュアルが公開されている機器のメーカー、型番であれば、弊社にて機器の設定方法等を調査したうえで、サービス提供いたします。まずはお気軽にご相談ください。
「ログ分析」サービスとは違うの?
似たような名称のサービスとして「ログ分析」、というのを聞いたことがある方もいらっしゃるかもしれません。
ログ分析サービスは、ログをもとに情報漏えいやマルウェア感染の有無を確認したり、インシデントの兆候をいち早く分析して報告してくれるようなサービスですが、こちらは必要なログが適切に取得できていることが前提、かつ、外注先の専門家の人手を要するため一般的に高額です。ログの取得からサポートしてくれる場合もありますが、さらなるコストアップにつながりますので、すぐに・気軽に導入したい、というご要望の場合には適さない可能性があります。
対するログ設定診断では、お客様側で事前の準備不要で、気軽にご導入いただける、という点がメリットです。
まとめ
ここまで読んでいただき、ありがとうございます。
本ブログでは、ログ管理におけるよくある課題と本サービスが解決できることをご紹介いたしました。
サービスについてもっと詳しく知りたい、という方は、ぜひ下記のページもご覧ください。
こんな場合でも対応できる?具体的に費用はどれくらいになる?など、気になることはお気軽にご相談ください。
