クラウド型ログ管理「LaaS」とは何か? 「SIEM」との違いは:「LaaS」とは【前編】
システムが複雑化している中、ログデータを分析し、不具合や攻撃を「先読み」することが重要だ。ログ管理ができるサービスとして「LaaS」がある。LaaSとは何かを見てみよう。
「Logging as a Service」(LaaS)とは、システムのログデータを管理して分析するクラウド型サービスを指す。ログデータはハードウェアやソフトウェアが正常に動いているかどうかを把握するための重要な情報源だ。ログデータの分析を通じて、不具合や攻撃の兆候をつかむことができる。
LaaSに類似するツールとして「SIEM」(Security Information and Event Management)がある。両者の具体的な違いと、LaaSの概要を解説する。
ポイントは守備範囲 LaaSとSIEMの違いはこれだ
LaaSによく似ているツールとしてSIEMがある。SIEMはセキュリティ情報を分析し、脅威を監視したり検出したりすることに役立つツールだ。LaaSとSIEMは両方とも、システムのログデータを管理、分析する点において共通している。セキュリティベンダーは両者を明確に区別しないこともあり、大半のSIEM製品はLaaSの機能を含む。一方でLaaSベンダーがSIEMの機能を提供することもある。
「どこを重視するか」がLaaSとSIEMの主な違いだ。SIEM製品は基本、セキュリティに関するデータを主な分析対象とする。セキュリティ以外のデータも取り入れ、ログデータを総合的に分析することはしない。これに対してLaaSはセキュリティだけではなく、ハードウェアやソフトウェアによる不具合といった異常も含め、ログデータを広い視点で分析することが特徴だ。
LaaSとは何か
システムのログデータを収集して異常の発見につなげることは、昔からある手法だ。かつてシステムのログ収集対象は、単一のメインフレームやサーバにとどまっていた。しかしネットワークを用いたシステムの拡張が進み、仮想マシン(VM)やコンテナ、クラウドといった技術が普及するにつれて、ログデータが爆発的に増加し、複雑さも増すようになった。
こうした背景から、かつてのように「手動」ではなく、効率的にログデータを分析するためのツールが広がっている。その一つがLaaSだ。
LaaSは一般的に、以下の機能を備える。
- 複数のソースからのデータ収集
- データの集約と照合
- 運用ポリシーを踏まえたデータ管理とアーカイブ
- 数百TB以上のストレージの管理
- データの検索とフィルタリング
- 条件に応じたアラート
- レポートやダッシュボードなどによるデータの視覚化
- データ分析、パターン検出、異常検知
企業はLaaSを使用して、システムの全てのソースからデータを集約することで、システム全体の動作を追跡可能になる。
ログデータは通常、テキストファイルに書き込まれる。ファイル形式は、「syslog」や「JSON」(JavaScript Object Notation)、「共通イベント形式」(CEF)、「W3C拡張ログ形式」、「コンマ区切り値」(CSV)などになる。
LaaSの提供形態は主に2つある。1つ目は、ベンダーがログ管理に必要なインフラをクラウドサービスとして提供し、インフラの運用管理を代行するマネージドサービス型だ。専用インフラを使い、LaaSをプライベートクラウドとして利用できるサービスもある。2つ目は、複数のクラウドサービスやソフトウェアをユーザー企業自身が組み合わせてログ管理システムを構築するアプローチだ。
後編は、LaaSのメリットとデメリットを取り上げる。
Copyright © ITmedia, Inc. All Rights Reserved.