PR

今回は、同じタイムスタンプの記録を一覧表示するなどして、分析作業を容易にする「ログ収集・分析ツール」を解説する。


表5 ログの収集・分析に特化したツールが増えてきた
[画像のクリックで拡大表示]

 サーバーやネットワーク機器などが出力するログを“串刺し”にして、同じタイムスタンプの記録を一覧表示したり、特定のIPアドレスについて履歴を時系列に表示したりすることで、分析作業を容易にするのが、ログ収集・分析ツールである(表5)。

  それぞれのログは、項目の内容や順番、記録方式などが異なる。ログ収集・分析ツールは、主要なOS、ミドルウエア、ネットワーク機器などのログの形式を把握しており、項目などをそろえて一元管理する。サポートしていない製品のログでも、テキスト形式であれば収集できる。

  インフォサイエンスの「Logstorage」,三菱電機インフォメーションテクノロジーの「LogAuditor」や東京エレクトロンの「SenSage」は収集したログを独自のファイルに保存する。表5に挙げたほかの製品は、Oracle DatabaseやPostgreSQLなどのDBMSに格納する。

  さまざまな製品のログを収集することは、従来からある統合運用管理ツールでも可能だ。しかし、ログ収集・分析ツールは、形式や項目が異なるログの相関関係の分析を容易にする機能が豊富であることが特徴である。


図5 「eTrust Security Command Center」で実施する相関分析の例
[画像のクリックで拡大表示]

  例えばコンピュータ・アソシエイツの「eTrust Security Command Center」の場合、図5に示したような使い方ができる。特定のサーバーでアラートが発生したとき(図5(1))、そのアラートに関連するクライアントPCの一覧や、サーバーへのアクセス数を表示。関係しそうなPCをクリックすると、そのPCが該当サーバーに対して、送信したイベントに関するログのみを表示する(同(2))

  分析する際には、項目の意味やほかのログの項目との対応付けが必要となる。ただし、どの項目同士を関連付けて分析するかをテンプレートの形で提供する製品もある。SenSageの場合、「ユーザーが分析したいと考える内容の6~7割は、テンプレートを使えば実施できる」(東京エレクトロン)という。

◇     ◇     ◇

  これまで解説してきたいずれのツールでも考慮しなければならないのが、記録の保存期間と暗号化への対処である。

  保存期間は、確たる目安がないのが実情。各ユーザー企業とも手探りの状況である。「基本的にメールの保存期限は設けていない」(朝日管理)という企業もある。しかしストレージの容量が限られ、テープによる管理も手間がかかることから、期限を設けている企業が多い。その期限も、「10年保存できれば万全だがコストを考え、2年程度でよいと決めた」(東京工業品取引所)、「とりあえず保存期間を半年にした」(KDDI)、「情報漏洩事故が発覚するまでの期間が短くなっているため、1年間で十分と判断した」(アイネス)、「不正抑止効果に期待しているため、クライアントPC操作のログ保管は1カ月」(朝日管理)と、バラバラだ。

  特にパケット記録ツールやメール・アーカイブ・ツール、データベース・アクセス履歴記録ツールのパケット・キャプチャ型では、暗号データを解読できない点に留意しておく必要がある。SSLを使った通信であることなどは分かっても、その内容まではチェックできない。