オブザーバビリティデータの活用術:ログ管理のよくある3つの間違い
各種のオブザーバビリティデータの役割、ログ管理で犯しがちな間違い、オブザーバビリティの運用を効率化する方法について解説します。
ログ監視とは?目的やシステム導入のメリットを解説
不正アクセスやサイバー攻撃などのインシデントが発生した際に、原因を特定する上で欠かせない各種ログ。クラウド化やリモートワークの拡大などにより、企業ITが複雑化を極めるなか、その種類や量が拡大の一途を辿っています。本コラムでは、ログ情報を取得して“異常”を検知するログ監視の目的や課題のほか、ログ監視ツール導入のポイントについても紹介します。
ログ監視とは?
ログ監視とは、ハードウェア(サーバーやPCなど)やソフトウェア(業務アプリやWebブラウザなど)で構成されるITシステムの稼働状況を記録し、そのデータ(=ログ)を監視することです。監視対象のログには、主に下記に挙げる種類があり、企業ITのクラウド化やリモートワークの普及などにより、増加する傾向にあります。
1. 操作ログ
PCやサーバーで、利用者が、どのような操作を行ったのか、を記録するものです。IT資産管理ツールを導入し、端末にエージェントをインストールして取得する形が一般的です。
2. アクセスログ
サーバーやネットワーク機器に対し、どのようなリクエストや接続が行われたか、を記録するものです。ファイルアクセスに限定して、「ファイルアクセスログ」と呼ぶ場合もあります。
3. 通信ログ
システムと、それを操作する端末はネットワークでつながっており、ネットワーク機器を介して通信をやり取りする形でシステムを操作します。通信ログは、通信の経路や内容などを記録するものです。
4. システムログ
機器の動作記録です。起動や停止、ログイン、OSの障害情報などが含まれます。
5. エラーログ
システムで発生したエラー情報を記録するものです。エラーログを確認することで、原因究明に必要な情報を手に入れられる場合も多く、迅速な復旧に欠かせません。
ログ監視の目的
ログ監視の主たる目的は、不正アクセスやサイバー攻撃などの“異常”をいち早く発見し、迅速に対処することで情報漏えいなどの被害を防ぐ(あるいは最小化する)ことです。このほか、機器のトラブルなどによるダウンタイムを防いでシステムの安定稼働を維持する、セキュリティ監査の対応業務を効率化する、監視していることを社内に周知することでガバナンスを強化する、といった目的もあります。
ログ監視の課題
企業ITが高度化・複雑化したことで、どこから、どの端末で、何にアクセスして、どんな操作をしたのか、についても様々なシナリオを想定する必要が出てきました。少し前までは、オフィスの業務用PCで社内のサーバーにアクセスするシナリオがほとんどだったのが、今では、出張先からスマートフォンで、あるいは自宅から個人PCで、などのリモートワークが普及。LANで社内サーバーにアクセスする以外に、インターネットを介したクラウドサービスの利用も増えています。
監視対象の拡大は、企業にとってはコストと工数の増加を意味します。さらにセキュリティに関して、より高度な知識が求められる点も、人材不足に悩む企業にとっての悩みどころです。
ログ監視ツールのメリット
24時間365日稼働するクリティカルな企業ITのログ監視を、人の手で行うことは非現実的です。そして、この問題を解決するべく登場したのが、ログ監視ツールです。ログ監視ツールを導入すれば、多岐にわたる膨大なログデータを24時間365日、人の手を介することなく、自動で監視し続けることができます。
ログ監視ツールは、ログをチェックし、異常を検知して、メールなどで通知するところまでを自動化できます。セキュリティ担当は、通知を受けてから異常の内容確認などの対応を迅速にできるようになり、結果として被害の最小化を実現します。
ログ監視のメリットは、セキュリティ強化だけではありません。従業員1人ひとりの業務を可視化して、生産性の高いグループと低いグループを比較して改善策を見いだしたり、ハードウェアの故障の予兆を検知して部品を交換したり、サービス停止によるビジネスへの影響を回避するなど様々なメリットをもたらします。
ログ監視ツールのデメリット
メリットの大きいログ監視ツールですが、デメリットもあります。まずは、コストです。初期費用や月額・年額の利用料がかかり、監視対象が増えるとその分ツールも増え、導入・運用のコストが膨れ上がります。
ユーザビリティへの影響も心配です。よく、セキュリティとユーザーの利便性は、トレードオフの関係にあると言われますが、監視対象を増やして制限を強化した結果、必要なサービスが利用できなり、業務効率が低下してしまうリスクがあります。
また、ログ監視ツールを導入すると、セキュリティ担当は、昼夜を問わずアラート通知に対応しなければならなくなります。アラート通知のなかには、誤検知や無視していいレベルのものも少なからず含まれており、その確認に追われて、本来やるべき業務が進まない……といった事態も想定されます。
ログ監視ツールの機能
製品・サービスによって異なりますが、ログ監視ツールが搭載する代表的な機能を紹介します。
ログ取得・監視機能
あらかじめ指定したログを収集し、“異常”がないかチェックする24時間365日の監視活動を自動化します。監視対象のファイルやデータを限定することができるツールもあります。
検索機能
検知した“異常”について、詳細を調査し、原因を特定するのに必要なのが検索機能です。ログデータから任意の条件で検索することで、原因を迅速に特定できるようになります。
アラート機能
“異常”を検知した場合、あらかじめ登録した連絡先に、その旨を通知する機能です。メールやチャットなど多様な通知手段を選べ、対応の漏れや遅れを防ぎます。
レポート機能
監視状況に関するレポートを管理画面上で確認して、プリント出力できる機能です。定期的にレポートを確認することで、“異常”の発生の傾向を分析できます。
ログ監視ツール導入のポイント
ログ監視ツール導入で、前述のデメリットを回避するには、下記の3つのポイントについて検討・確認する必要があります。
導入の目的を明確にする
セキュリティ強化、システムやサービスの安定稼働、社員の労務管理など、目的によって導入すべきログ監視ツールも変わってきます。まずは、As Is/To Beについて検討し、何を実現したいのか、を明確化する必要があります。
監視対象を明確にする
冒頭で触れたとおり、ログ監視の対象は多岐にわたり、多ければ多いほどコストも増加するため、インシデントの発生による影響の大きさや、業務を継続するためのセキュリティポイント、重要度などを慎重に検討した上で、監視対象を決める(絞り込む)必要があります。企業として絶対に守らなければならない情報が、どこに、どれくらいあるのか、の棚卸しも欠かせません。
導入コストを確認する
初期費用ゼロのクラウド型ツールのなかには、月額料金がログ情報の量に応じて請求されるものもあります。侵入後、長期間にわたり潜伏するサイバー攻撃もあり、ログ情報の長期保存は必須となるため、セキュリティ強化を目的に導入する場合は、課金体系について慎重に検討しましょう。
ログ管理ツールと組み合わせで、ログの一元管理も可能
前段で、コストの肥大化を防ぐためのポイントとして「監視対象を明確にして絞り込む」ことを挙げましたが、企業によっては監視対象を多く設定せざるを得ないケースもあります。個別の最適でログ監視ツールを導入すると、複数の管理画面をチェックすることになり、複雑性が増すだけはでなく、1つの“異常”について複数のツールからアラートが上がり、混乱してしまう事態も懸念されます。
このようなケースでは、SIEM(Security Information and Event Management)などのログ管理ソリューションを併せて導入することで、複数のツールが取得するログ情報を関連づけて一元管理でき、エンタープライズのセキュリティ担当やIT管理者の負担を軽減します。
関連記事
Splunkについて
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。
ブログのメール配信
Splunkの最新ブログ記事をメールでお知らせします。
XでSplunkとつながる
@splunkをフォロー
