ログ管理とは？目的やメリット・デメリットから考える“必要性”

ログの種類

ログには様々な種類があり、企業ごとのニーズや環境にあわせて、どのログを、どのレベルまで管理するか、が大きく変わります。ここでは、代表的なものを紹介します。

操作ログ

コンピューターで実行された操作を記録したログのこと。すべてを保存すると膨大なログとなるため、重要なログのみ保存するなどの設定が必要になります。

認証ログ

ユーザーのログイン、ログアウトなどの認証に関するログ。社内のサーバーやシステムに対し、いつ、誰が、どのデバイスを用いて認証したか、を記録します。

イベントログ

Windows OSにより生成されるログで、OSで発生するイベント（プロセスの実行、ファイルアクセス、アップデート、アプリケーションエラーなど）が保存されます。

アクセスログ

IT機器、サーバーに対するアクセスを記録したログ。Webサーバーへのアクセス履歴を指して用いられるケースが多く見られます。

通信ログ

ネットワークを介しておこなう通信の履歴です。通信の開始・終了の時刻とあわせて、接続先の情報や通信内容などを記録します。

システムログ

「システムが出力するログ」を意味しますが、一般的には、OSが出力するログのことを指します。Windowsのイベントログもシステムログの一種です。

エラーログ

アプリケーション、システム、コンピューターなどで異常が発生した際に出力されるログ。エラーログとして、どこかにまとめて出力されるのではなく、各種ログそれぞれにエラーログが出力されます。

ログ管理をおこなう目的

自社の環境で起きていることを調査・分析するログ管理ですが、その目的は様々です。

情報セキュリティ対策・情報漏えい対策

まず挙げられるのが、セキュリティ対策です。セキュリティインシデントが発生した際に、攻撃者が、どのようなサーバー・情報にアクセスしたのか、漏えいした可能性のある情報の特定から、原因の究明、復旧をおこなうために、ログ管理は不可欠です。

近年は、PCなどに長期間潜伏し、徐々に感染を拡大させるマルウェアもあるため、「不要なサーバーに複数回アクセスしている」というような不審な挙動がないかなど、ログを横断して分析し、早期に脅威を検出することも必須となっています。

内部統制

従業員が適切に業務をおこなっているか、不正がおこなわれていないかなど、内部統制を徹底するには、社内の“監視”が不可欠です。「勤怠に記録されていない時間にPCで作業をしていないか（サービス残業がおこなわれていないか）」「業務に必要のない機密情報にアクセスしていないか（内部不正のリスクがないか）」など、様々な観点から確認・分析をおこなうためにも、ログ管理は重要な役割を担います。また、内部統制の「証跡」としてログを活用する場合には、ログが改ざんされていないことを保証する仕組みが必要となります。

問題検知・トラブルシューティング

システムやアプリケーションが動作しているか、ユーザーが正常に使用できているかなどもログから確認できます。また、もし問題が発生した場合にどのような事象が何故発生したのかも追跡するためにもログが重要です。一つのシステムで複数のアプリケーションやOSが動作している場合、横断的にログの前後関係を調べられるように1カ所に集め、またログの重大度や日時情報、ホスト名やその他任意のキーワードに基づき柔軟に検索できるようにしておく必要があります。

マーケティングへの活用

ログ管理は、売上の拡大に向けたマーケティング施策やCX（顧客体験価値）の向上などにも活用できます。例えば、Webサイトへのアクセスログを分析することで、どのページに長時間滞在しているか（ユーザが興味を持っているか）、どうサイトを移動しているのか、などがわかるほか、ECサイトの購入までのステップで、どこでつまずいているのか、なども分析できます。担当者の経験や勘に頼るのではなく、ログなどの客観的なデータに基づいたマーケティングをおこなう企業が増えています。

ログ管理のメリット

企業では、日々膨大な量のログが出力されています。そのままでは、必要な情報を調べるだけでも相当な手間がかかり、分析に時間がかかります。また、複数のログを横断して状況を把握する、といったことをおこなうためにも、ログを一元管理し、検索しやすいよう関連づけるなどの適切な形での管理が不可欠です。ログに含まれる情報を有効活用できるようになることこそが、ログ管理の最大のメリットと言えるでしょう。

これにより、問題があれば、いち早く検知し、原因を究明して、対処できるようになるほか、新たな気づきも期待できます。

ログ管理のデメリット

コストがかかる

ログ管理のデメリットとして、考慮が必要なのはコストです。当然ですが、ログを保存するにはストレージのコストがかかり、長時間保存すると、それだけデータ量が増加し、コストもかさんでいくことになります。古いデータを参照することで、より多くの知見が得られる可能性もあるほか、サイバー攻撃の潜伏期間が長期化していることもあり、「ログの保存期間が過ぎており、最初に攻撃を受けた個所を特定できなかった」などのリスクもあります。どのログを、どれくらいの頻度・レベルで取得し、どれくらいの期間保存するのか、用途やコストなどとのバランスを考慮して、運用する必要があります。

ログ管理だけでは、完全なセキュリティ対策にならない

ログ管理は、セキュリティ対策においても不可欠とされますが、「ログを管理さえしていれば、十分」というわけではありません。ログ管理は、あくまでも状況把握や原因究明のための手段であり、脅威のブロック、データの保護など実際の対策は、そのほかのセキュリティ製品やネットワーク機器と連携しておこなうことになります。

ログ管理システムの機能と導入のメリット

膨大なログを一元管理し、効率的に分析するために必要なのが、ログ管理システムです。ログ管理システムのダッシュボードやレポートを活用することで、客観的な情報（ログ）に基づき、迅速に意思決定できるようになります。さらに、高度な脅威の検出の機能を持つものもあり、リアルタイムにログを監視し、不審な挙動を検出することで、セキュリティリスクの低減にもつながります。

ここでは、ログ管理システムの主な機能3つについて解説します。

ログの取得と保存

ログ管理の基本となるのが、様々なログを取得（収集）し、一元的に保存する機能です。各種サーバーやアプリケーション、ネットワーク機器、セキュリティ製品など、社内に散在するログを1カ所に集めることで、効率的な管理と活用が可能になります。

継続的に出力されるログを、抜け漏れなく収集すること。また、集めたログが不正に改ざんできないこと、などログの正確性・信頼性を担保する仕組みも必要です。

ログの監視

収集したログを監視することで、事前に指定したキーワードなどが出力された際に、アラートを通知できるようになります。システムやアプリケーションのエラーログや、通常とは異なる操作などを通知することで、トラブルや障害、不具合、セキュリティのインシデントなどをいち早く発見し、スピーディな対処を可能にします。また、複数のログを横断して、不審な挙動がないか、を確認するなどセキュリティ対策として、より高度な監視が可能なログ管理システムもあります。

ログの分析

ログを活用する際に、もう1つ重要なのが、分析機能です。膨大なログから必要な情報を検索、抽出、加工、統計処理するほか、必要な情報をまとめたダッシュボードやグラフで可視化。さらに、昨今では機械学習も組み込まれ異常の発生状況などの全体の傾向やパターンの分析などにも対応します。

結論：複雑化するIT環境を管理するために、ログ管理は不可欠

企業のIT環境が複雑さを増すとともに、サイバー攻撃は高度化・巧妙化し続け、セキュリティ対策の観点からも、「社内で不審な挙動がないか」をリアルタイムに監視する必要があるとされています。社内の状況を把握するためにもログ管理は不可欠であり、膨大なログを管理するログ管理システムも、もはや企業にとって必須と言えるでしょう。

Splunkは、統合データプラットフォームとして、多様なイベント、ログの収集、検索、可視化、分析など、必要な機能を揃えている上、機械学習機能も用いた分析ルールにより、高度な脅威の検知を実現します。また、インシデントを防止し、迅速な回復を強力にサポートします。

Splunkプラットフォームの概要とデモについては、以下のビデオをご覧ください。