あなたに代わってログ監視ー自動ログ収集システム

35fe2265b2f02bb6165c9ce80dd18fd5_s

ログ監視を成功させるには

ログ監視は「ポリシー・ルール」「ツール」「運用手順」の3つが必要です。

「ポリシー・ルール」は、ログ管理を行う上で必要な「何のために」「何を」「どこまで」という要件を設定したものです。
ポリシー・ルールを決めただけでは機能しませんから、具体的に「どうやって」を実現するために、「ツール」と「運用手順」を考える必要があります。

まずは、ログを収集・管理する「ツール」について検討します。

ログ管理ツールの検討

ログ管理は、毎日確実にログ収集し、適切な場所に保管、場合によっては、問題が発生していないかを目視で確認することも必要です。

これらすべてを人手でこなすのは現実的ではないため、ログ管理ツールの導入を検討します。

ポリシー・ルールで必要とされる要件のうち、まずはシステム化すべき部分を確認します。
基本的に、自動化が可能な部分はシステム化するようにします。

どの部分をシステム化するか、方針が確認できたら、ログ管理に必要な機能を「収集」「保管」「監視」「集計・分析/レポート」の4つに分けてシステム化の要件を整理します。

ログの収集

評価するポイントは、
・どのような機器の、どのようなタイプのログ収集ができるか。
・圧縮や暗号化機能の有無 (ログ収集の通信負担の軽減や、セキュリティ対策のため)。

ログ収集の対象となる、さまざまなシステムの各種のログ収集を、フォーマットを揃え、一元管理してくれる仕組みが欲しいところです。

ログの保管

評価するポイントは、
一元的な管理ができるか。
保管期間はどれくらいか。
どのような形式で保管されるか。(出力されたそのままの状態で保存できるか。)
圧縮、暗号化、改ざん防止、バックアップ機能の有無、など。

ログには、ユーザIDやIPアドレスなど保護が必要な情報が含まれていることもあり、場合によっては、法的証拠として使われる可能性もあるため、アクセス制御や改ざん防止などの対策を講じ、バックアップを取って冗長化するなど、保管には万全を期すようにしましょう。

ログの監視

評価するポイントは、
要件にあった検知ポリシーが定義できるか。(一定の時間内にログイン失敗を繰り返している者がいないか、など。)
自社に合ったアラート方式が選択できるか。(不正アクセスやシステム障害、業務違反行為を検知して管理者に通知する、など。)
検索機能が使いやすいか。(大量のログから、高速、且つ一元的に検索できるか。)

ログの分析・レポート

評価するポイントは、
ログ分析ツールが備わっているか。(組織やユーザー別のログイン失敗回数やアクセス権限違反の回数の分析など。)
分析ツールは使いやすいか。(日次・月次のレポートの作成支援機能、など)

以上の各機能別の評価ポイントを踏まえながら、パッケージ製品を利用するか、自社用システムを開発するかなども含めて、さまざまな角度から比較・評価を行いましょう。

ログ監視の「運用手順」の検討

「ツール」が定まったら、「運用手順」を検討します。
単にツールを導入してログを収集しているだけではセキュリティ対策や監査対応などの目的は達成できません。

ログ監視を意味のあるものとするためには、目的を達成するための作業フローを運用手順として定義し、日々の業務に取り込まなければなりません。

「ログ管理手順」は、ログの監視手順やアラートが上がったときの対応手順、ログ分析レポートの作成手順等、ログ自体を管理していくために必要な業務の手順を示したものです。

実施するべきログ管理業務は、「誰が」「いつ」「何を」「どうやって」行うかを洗い出し、一覧表などにまとめたうえで、具体的な作業手順をフロー図や手順書として整備し、無理なく日々の業務に取り込める仕組みを作りましょう。