IT環境内のすべてのデバイス、OS、アプリケーションは、ログファイルの形式でアクティビティの記録を生成します。セキュリティ侵害を調査するときやコンプライアンス・レポートを提出するときには、これらの監査証跡が活用でき、大変貴重な情報です。
サイバーリスク管理プロジェクトの最近の報告は、被害者に身代金を要求する大規模な1つのサイバー攻撃が1,930億ドルの被害をもたらし、世界中で60万を超える企業に影響を与える可能性があると予測しています。シンガポールを拠点とするこのプロジェクトは、個人の連絡先に転送されるランサムウェアウイルスに感染した電子メールに端を発する攻撃を仮想して調査しました。24時間以内に世界中の3,000万台のデバイス上のデータがウィルスによって暗号化されました。規模の大小にかかわらず、企業は、データを復号化するために身代金を支払うか、または感染したデバイスを置き換える必要があります。
現代はサイバー攻撃の脅威がはびこり、誰でもサイバー犯罪者の標的となり得ます。企業規模が大き過ぎるとか小さ過ぎるとかいうことはあり得ません。ファイアウォールやIDSデバイスを分析すると、境界防御を突破して侵入しようとする大量の継続的な試みが見つかる可能性があります。サイバー犯罪者による攻撃はますます巧妙になってきており、侵害を検出するのは大変困難です。
こういった状況を考えると、適切なログ管理ソリューションの必要性が見えてきます。そして、そのソリューションを、チェックする必要のないデータを効率的に排除し、潜在的な脅威を示唆するログイベントに集中できるようにするためのベストプラクティスを念頭に置いて使用することも、同様に重要なポイントです。
データは貴重でも、手動で処理するにはあまりに大量
IT環境内のすべてのデバイス、OS、アプリケーションは、ログファイルの形式でアクティビティの記録を生成します。これらの監査証跡は、セキュリティ侵害を調査するときや規制コンプライアンスレポートを提出するときに貴重な情報を提供します。
ログデータは極めて重要ですが、あまりに大量なので、すべて手動で処理しようとしても手に負えません。そこで必要になるのが、生成される膨大な量のログファイルを分析できるログ管理ツールです。
ログを収集、フォーマットし、監視するための効果的な一元化された方法がないと、非効率的な煩わしい作業のために時間が浪費されてしまいます。ログをリアルタイムで効果的に分析することによって、パフォーマンスと可用性の問題やセキュリティ上の脅威の可能性が検出可能です。ログは履歴データを適切に管理することでトラブルシューティングやフォレンジック調査に有用であるだけでなく、規制コンプライアンスのためにもログ管理は欠かせません。
セキュリティを強化しコンプライアンスを保証するための
ログ管理のベストプラクティス
新しくログ管理ソリューションを導入したり、既存のソリューションを強化したりする際に考慮するべき、5つのベストプラクティスをリストします。
#1 要件を明確化する — 検出するべきセキュリティイベントは何か、コンプライアンスが必要な規制は何か、リアルタイムで継続的に監視すべきログは何か、定期的にチェックすればいいログは何か、どの程度のログが生成され、保存・分析されるべきログの量はどの程度か、などの質問に答えることで、要件が明確化し、新しいログ管理計画を展開する際の的確なガイダンスになります。
#2 収集するログを特定する — 機密データを含む業務アプリケーションや業務プロセスなどの、重要なセキュリティ・データ処理リソースからのログは必ず収集するべきです。収集を検討するべきその他のログには、業務アプリケーションへのアクセスを提供するシステムおよびネットワークデバイス、以前に侵害されたリソース、インターネット接続、そしてゲートウェイ、ファイアウォール、IDS、ファイル転送、コラボレーションソリューションなどの外部接続を持つシステムが含まれます。
#3 読みやすいフォーマットで出力する — ログが JSON や KVP のような人間が読めるフォーマットで構造化されることを確認してください。簡単に理解できなければ、ログをとってもほとんど役に立ちません。読みやすいフォーマットといった詳細まで注意を払うようなログ監視ソリューションであれば必要なデータを確実に抽出できるだろうという目安にもなります。
#4 管理を集中化する — ログの収集、管理、監視、分析を集中化することは、2つの観点から役立ちます。まず1つは、IT部門でログを分析し、セキュリティの脅威を検出、防止、軽減するための手がかりを探すのがはるかに簡単なことです。もう1つは、規制監査者が、コンプライアンス要件として集中的なアプローチを要求するかもしれない(あるいは集中化で心証が良くなる)という可能性があることです。
#5 自動化された監視を実装する — 違反の可能性があると思われる場合に確認するためのログファイルをほとんど収集しない組織が存在する一方、定期的に手作業でログをチェックしようとする組織もあります。ログをまったくチェックしないということは、ITインフラストラクチャのパフォーマンスとセキュリティ状況に関する貴重な情報を無駄にするということです。また、すべて手作業でチェックしようとすると大変長い時間がかかり、セキュリティとコンプライアンスに影響を与える可能性がある多数のログイベントを見逃す可能性があります。常にログを監視できるように自動化された監視を実装し、緊急の対応が必要なイベントが発生したらIT管理者に通知するような警告設定を行うのがベストプラクティスです。
ログ管理ソリューションが備えるべき機能
上記のベストプラクティスを実現できるような、リアルタイムのイベント監視と警告設定ができるログ管理ソリューションを探す場合にチェックするべきポイントは、スケーラブルで継続的なログ収集、高速検索、分析とレポート作成、ルールベースの警告設定、などの機能があるかどうかです。優れたソリューションは、オペレーティングシステム、ファイアウォール、アプリケーションのための何千ものネットワークデバイス・タイプとログ定義をサポートします。
ログデータの収集が一元化されていると、効率的なログフォレンジック分析が可能になり、IT部門全体でインシデントの情報を共有して対応することができます。優れたログ監視ソリューションには、操作を事前設定できる機能や、独自のアラートを定義してリアルタイムの通知を設定できる機能もあります。
コンプライアンスを満たしているかを継続的に監視し、脅威をリアルタイムで検出できることは、規制準拠のために大変重要です。また、一般的な検索クエリを使用して高速検索を実行する機能、特定の規制要件に合わせて事前に調整できるコンプライアンスレポート作成機能も選択の際にチェックすべきポイントです。
損害が発生する前に行動を起こす
どのようなソリューションを選んでどのようなプラクティスを実施するとしても、ログ管理はセキュリティ方策の重要な要素になります。最低でも、信頼できる誰かが、セキュリティイベントの明確な兆候がないかどうかを確かめるため、ログを定期的にチェックする必要がありますが、データセキュリティはどの会社にとっても極めて重要なので、さらに充実した効果的なログ管理が求められます。
特に業務アプリケーションで機密データを処理するような場合は、重要なセキュリティおよびデータ処理リソースからのログを継続的に監視し、分析する必要があります。
集中化されたログ管理ツールを利用することが推奨されます。リアルタイムの監視と分析ができないと、デジタル資産に重大な損害を被る前に行動を起こすために必要な、コアシステムと境界防御への侵害の早期検出・警告は不可能です。