ログデータ＆ログ管理ツール活用のススメ：用途はセキュリティだけではない

セキュリティ対策の手段としてログの活用が重要であることは言うまでもない。だが、ログの用途はセキュリティ対策だけではない。優れたツールを使って、ログをさらに活用すべきだ。

[Stuart Burns，Computer Weekly]

　企業が利用するアプリケーションの大半は、何らかの形式でログを生成する。そのログにはエラーや警告メッセージが含まれることもあれば、他のイベントに関するレポートをもたらすこともある。ログは、物事の実行に関する何らかの洞察をIT管理者に提供する。

　トラブルシューティングの点で考えると、各システムから入手した詳細情報を解釈できれば、ささいな問題が深刻な問題へと発展する前に確実に対処できるようになる。

　ただし、ログの管理・監視ツールが明らかにするのは、何か問題が起きたことだけではない。こうしたツールが企業のセキュリティ体制の強化に役立つことは、ドキュメントにもしっかりと記載されている。

　収集したデータを活用することで、個別の問題を明らかにするだけでなくデータから幅広い知識を身に付け、インフラが直面する恐れのある全ての課題の全体像を構築することもできる。

　法規制の点から、ログツールが推奨ではなく必須となる企業もある。例えば米国の一般企業は財務と監査関連の一連の規制であるサーベンス・オクスリー法（SOX法）に従う必要がある。同法は内部関係者による脅威を防ぐため、重要なパラメーターをログに記録してレビューすることを求めている。

　権限を昇格させて実行するコマンドなどを監視する目的でもログツールが利用されている。ログを適切なツールと組み合わせることができれば、疑わしい動作や異常な動作を明らかにするのに大きな威力を発揮する。

関連記事

• ログを最大限に生かすシステムと活用法
• ログ管理を通じたユーザー受け入れテストの改善
• DDoS攻撃を阻止するトラフィックスクラビング
• 検知できない「ファイルレスマルウェア」対策の第一歩
• 不正なサイトをブロックする無償のDNSサービス「Quad9」

準備に失敗するか、失敗に備えるか

　ログ管理サーバを適切に構成して使うことにもメリットがある。ログ管理サーバがあれば、セキュリティが確保された安全な環境にログを保持でき、何が起きているかを正確に記録し、悪意を持った人物（プロセス）がログをさかのぼって変更するのを防ぐこともできる。

　ログ管理サーバは、重要なデータが上書きされたり削除されたりすることをほとんど恐れることなく、必要に応じてレビューできる履歴を提供する。数カ月前から始まっている現象をさかのぼって追跡する場合、当時のデータを入手できるという事実が極めて貴重になることが多い。

　優れたログ記録ツールは、IT管理者の業務を非常に容易にする。

　ツールの中には、警告やアラームを提供するのにWebベースのGUIしか用意していないものもあった。このようなツールでは状況が悪化しても一定の種類のリスクに直面するまで状況を把握することができない。

　スクリプトを使ってエラーログを選別し、集中管理型ログシステムに転送するツールもある。ログシステムはエラーメッセージに基づいてアラートを作成し、電子メールでアラートチケットを生成する。優れたログシステムがあれば、必要に応じた柔軟性を備えることができる。

　要件に応じて、無料の製品から驚くほど高額な製品まで、多種多様なログツールがある。人気の高いツールとしてSplunk製品やオープンソースの「Graylog」がある。どちらにもコミュニティーエディションや評価版がある。3番人気はオープンソースプロジェクトから生まれたElasticsearchの「Elastic Stack」（旧称「ELK Stack」）だ。このツールは無料だが同社のサービスとサポートを受けるのは有償になり、それが同社の収益源になる。

　ログの概念実証環境を構築するのは難しくない。だが運用環境を構築するのは別問題だ。環境が大きくなるほど、データ収集インフラが複雑になるのは必然だ。そのため、綿密な計画や専門家の意見を取り入れることが重要になる。

　こうした特性のある作業の計画に当たっては、ログサーバが驚くべき速度でCPUとストレージを消費することを忘れないようにする。

　大半のツールは、作業をより簡単にするために何らかの形式のログ転送機能を組み込んでいる。ただしこうした機能の構成は、プラットフォームに大きく左右される。

　LinuxやUNIXベースのインフラの大半にはデータの送信に必要な機能が備わっていて、そのまま利用できる。データは対象のホストからログ管理サーバのsyslogサーバにプッシュされる。

　これに対してWindowsは「プル」方式で機能する。個人的な経験では、プル方式のWindowsインフラからデータを取得するには、Windowsホストにログ転送エージェントをインストールする必要があった。

　まとめると、ログは大量のデータを管理し、必要に応じて異常や問題点を明らかにする非常に便利な情報を提供する。管理者が十分に慎重であり、ログツールの用途を変えることができれば、インフラでのギャップを回避するためにも利用できる。