2015年10月22日 08時00分 UPDATE
特集/連載

Computer Weekly製品導入ガイドログを最大限に生かすシステムと活用法

ほとんどのITシステムは、開発者による動作確認を支援するためにログファイルを生成する。ネットワーク管理者はセキュリティシステム自動化のためにこのデータを利用できる。

[Cliff Saran,Computer Weekly]
Computer Weekly

 情報セキュリティの検証にログを応用するケースが増えている。だが不幸なことに、複雑なITシステムには数百ものログファイルがあり、それぞれが相当量のデータで構成されている。このデータは事業運営やセキュリティに関係することもあれば、関係しないこともある。ログ管理はコンテンツ管理とビッグデータの問題だ。Windowsからファイアウォール、サーバに至るまで、全てがログを生成する。これほど大量のデータを収集して調査するのは、特に分析結果をすぐにも必要とする場合、恐ろしく困難だ。IT管理者は時として、そうした自動生成されるログを無視する。そしてシステムがダウンして初めて、ログファイルの徹底的なフォレンジック調査が行われる。

Computer Weekly日本語版 10月21日号無料ダウンロード

17887.gif

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 The Security Instituteのサイバー研究・セキュリティ担当ディレクター、マイク・ギレスピー氏によると、セキュリティ管理者がログを利用すれば、ポリシーや対策を強化したり、現在の手法の効果を測定したりすることによって、耐久性の高いセキュリティ対策を確立でき、それを他の分野に拡張できる可能性もある。ログは研修の必要性を見極めたり、コンテンツフィルタリングやインターネット、ソーシャルメディア、あるいは慎重な対応が求められるネットワーク分野へのアクセスに関する意思決定に影響を及ぼしたりする手段として役に立つ。また、使われていないワークステーションの休止時間を確認したり、経過時間の適切な延長や縮小を承認したりする役にも立つ。

 「ログデータを行動パターンの分析に利用すれば、例えば終業時にユーザーがログオフしているのか、それともただ画面をロックしているだけなのかをチェックできる。システムが変更されていたり、パッチあるいは更新プログラムが適用されていなかったりするかもしれない。こうした行動パターンや突然の変更は警告の対象となり得る」とギレスピー氏は話す。

セキュリティのためのログ

 セキュリティ情報イベント管理(SIEM)では、ネットワークから得られる全てのログデータとセキュリティツールを自動的に組み合わせ、管理できる状態へと凝縮する手段が提供される。

 「SIEMツールは、動きが速く大量のデータが存在する環境において、インシデント検出、対応、防止のための現実的な手段をセキュリティチームに提供する。現在のトラフィックをリアルタムで平均と比較することにより、ネットワーク上の異常や攻撃を検出して通知を出し、セキュリティ担当者の対応や修正を促す」。(ISC)2の欧州担当マネージングディレクター、エイドリアン・デイビス氏はそう解説する。

 SIEMの機能を拡張して、対応を自動化することもできると同氏は言う。「異常に高い量のトラフィックが1台のPCから出ている状態(情報抽出攻撃の症状)をSIEMで検出できれば、このトラフィックのパターンを学習して、次にこの問題が検出されたときに自動的に阻止できる。このプロセスは人間よりもずっと早く完了でき、全体のセキュリティが向上する」

 ログ管理とインテリジェンスプログラムでは、インシデント対応を向上させて受動的な対応から先手を打てる対応へと切り替えることが可能だ。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news083.jpg

マーケティングオートメーション「B→Dash」が「Sansan」「kintoneと」連係開始
フロムスクラッチが開発・提供するマーケティングオートメーションプラットフォーム「B→...

news028.jpg

Act-on Softwareのマーケティングオートメーションを月額9万円で提供
MKTインターナショナルは、Act-on Softwareと販売パートナー契約を締結し、同社が提供す...

news031.jpg

ロックオンが「TVエビス」を提供、テレビとWebを横断したマーケティング施策最適化を実現
ロックオンはトライステージと共同で、マーケティングプラットフォーム「アドエビス」の...