Logstorageは、サーバやネットワーク機器から生成される大量のログデータをすべて収集し、内部統制や情報セキュリティ対策はもちろん、データを加工してマーケティングに活用するといった多彩なログ活用を可能にする統合ログ管理システムです。
プロダクト事業部サイバーセキュリティ・コンサルティングチーム リーダー 安達賢一郎氏は、「ログ管理という情報システムのセキュリティ基盤となるツールとして、業種や業態を問わず幅広いお客様に採用いただいています。中でも情報セキュリティに積極的に取り組み、IDM(アイデンティティ管理)からのステップアップに選択される大手企業が少なくありません」と語ります。
製品の特長は大きく2つ。1つは、システムからテキスト形式で出力されるログを、すべて収集・管理可能な点。通常のSSHでのシステムアクセスはもちろん、サーバが自動的に発行するアラートなども収集するため、日常の管理だけでなく万が一のアクシデントの際にも、あらゆるシステムアクセスや操作の履歴を確実に把握できます。
もう1つは、膨大なログデータを必要な項目に絞って分析・検索してレポート化したり、検索結果をCSV形式に出力して、営業資料などさまざまに転用できたりする点です。この結果、従来は「確認が必要になるまでは保存するだけ」だったログデータを、マーケティングなどの「ビジネスのための情報リソース」として有効活用することが可能になりました。
インフォサイエンスがLogstorageとSecureCube / Access Checkの組み合わせを検討したきっかけは、ホスティングを受託している顧客から「詳細な操作ログを取りたい」との要請が寄せられるようになったことでした。Logstorageは、システムへのアクセスはすべてSecureログとして取得できますが、「誰がどのようなコマンドを実行していたのか?」といった詳細な内容までは確認できません。それを可視化するために、Logstorageと連携できる新しいツールが必要だったのです。
「SecureCube / Access CheckのログをLogstorageが抽出・集計し、自動的にバッチ処理で月1回レポートを発行。その細かい内容まで確認する必要があれば、SecureCube / Access Checkの詳細なログ内容を確認するという、段階的で効率的なログ管理が可能になっています」
新しい連携ツールの選定にあたっては、3社の製品を比較検討しました。その中からSecureCube /Access Checkを選択した主な理由として、ネットワークオペレーションズセンター テクニカルオペレーション マネージャー 猪瀬健氏氏は、ライセンス体系を挙げます。
「その当時、比較検討した製品の中で、SecureCube/Access Checkだけが監視対象のサーバの数に応じて課金される決まりでした。他社は利用者数でしたが、当社はデータセンターの運用担当者の使用する端末が監視対象のサーバに比べてかなり多く、そうした点でSecureCube/Access Checkのコストパフォーマンスは魅力的でした」。
また他の候補製品の対応OSはWindowsしかなく、SecureCube / Access CheckだけがLinuxにも対応していることも、社内のメインOSがLinuxの同社にとっては採用の決め手となりました。
2014~2015年にかけて入念に製品選定・検討を重ねて、SecureCube / Access Checkに絞り込んでからはNRIセキュアと数回にわたって打ち合わせ、2015年3月から利用を開始しました。現在、LogstorageとSecureCube / Access Checkは、インフォサイエンスとNRIセキュアの協業で開発したSecureCube / Access Checkのオプション機能「統合ログ管理システム連携オプション」によって、シームレスに連動できる仕組みが構築されています。
「今後の重要なセキリティ課題として、標的型攻撃や内部情報漏えいの防止があります。特権IDへのアクセスを遮断し、同時に不正アクセスのログを長期的な観点で分析できる点で、2つの製品の連携は出入口対策では防ぎきれないサイバー攻撃に対しても有効です」
LogstorageとSecureCube / AccessCheckの連携がもたらしたメリットでもっとも大きいのは、サーバのシステムログを含めすべてのログを一括管理できるようになったことです。
具体的な改善点としては、たとえば管理レポートの簡素化と自動化です。従来Logstorage単体では、ログ自体は取得できても「誰がどんな操作をしたのか?」といったログの内容までは把握しきれませんでした。一方、SecureCube / Access Checkはそれらの詳細情報をすべて記録していますが、項目数や情報量が膨大なため、管理者が自分で必要な情報をそのつど探し出すのは効率がよくありません。またサーバの台数が多ければ、1台ずつアクセスして確認する手間もかかります。
「それが2つのツールを連携させたことで、SecureCube / Access Checkのログを必要に応じてLogstorageが抽出・集計し、自動的にバッチ処理で月1回レポートを出す仕組みが実現しました。それを見て管理者がもっと細かい内容まで確認したければ、元のSecureCube / Access Checkのログを確認するといった具合に、管理の手順を段階的に分けて効率化できたのです」(猪瀬氏)。
Logstorageは管理対象のサーバが何台でも、またクラウドとオンプレミスに分散して運用されている場合も、すべてのログを透過的に一括管理できます。現在インフォサイエンスでは、AWS(Amazon Web Services)と自社データセンターの両方でユーザー企業のサーバを運用していますが、管理をプラットフォームごとに分ける必要はまったくありません。
「詳細なアクセス内容を記録できるSecureCube / Access Checkと、大量のログを取得・保管、そして活用が可能なLogstorageを組み合わせた結果、効率のよいアクセスログ管理と詳細なアクセス情報の見える化といった複数のメリットが実現できました」
