インターネット技術の発展により、業務の効率化が進み、取引や手続きの利便性は日を追うごとに向上しています。
しかし、それと同時に深刻化しているのがサイバー攻撃です。今や、我々が生活する周りには、スマートフォンやパソコン、ルータ、複合機、監視カメラなど、通信可能なデバイスであふれています。これらデバイスは、すべて攻撃者の入り口になる可能性を孕んでおり、サイバー攻撃を完全に防ぐのは難しいのが現状です。
そこで、注目が集まっているのがセキュリティログ監視。セキュリティに関するログをリアルタイムに監視し続けることで、少しの不審な挙動も検知できるため、万が一、サイバー攻撃に遭ったとしても、最小限に被害を抑えることができます。
本記事では、セキュリティログ監視のメリットやデメリット、セキュリティログ監視ツールの選び方などについて解説します。
目次
ログ監視の一種である、セキュリティログ監視とは?
ログ監視とは、サーバやネットワーク、パソコンやスマートフォンといった端末、複合機などの利用状況や通信履歴などの「ログ」を監視することを言います。
それに対し、セキュリティログ監視とは、セキュリティ管理やセキュリティ対策で使用されるログを監視することを言います。具体的には、WAFやファイアウォール、IDS/IPSシステム、Webプロキシ、ルータなどのログが挙げられます。
ログの種類
ログが取得できる対象は、実に幅広いです。通信やイベントが発生する機器や端末であれば、物理的には全てログが保存されています。ここでは、代表的なログの種類について解説します。
認証ログ
端末やWebサイトへログインした日時や利用者のIPアドレス、端末などを確認できるログです。
イベントログ
OSやアプリケーション内で発生した事象や動作、エラーなどを確認できるログです。
エラーログ
端末やソフトウェア、アプリケーション内で発生したエラーを確認できるログです。エラーの発生日時や原因などが分析できます。
入退室ログ
部屋へ入退出した時間や人物などが確認できるログです。方法としては、監視カメラや社員証(ICカード)、ドアセンサーなどでログを収集します。
操作ログ
端末やシステム、ソフトウェアにおけるファイルやフォルダの閲覧、新規作成、削除、移動などの操作履歴を確認できるログです。
通信ログ
パソコンなどの端末とサーバ間の通信内容を確認できるログです。通信量、通信内容、通信時間といった内容の記録が可能となります。
通話ログ
通話ログは、もっとも馴染みのあるログでしょう。スマートフォンやモバイルフォンなどの端末に記録される通話履歴のことです。不在着信、発信内容、通話時間などが記録されます。
印刷ログ
印刷ログとはその名のとおり、印刷履歴を確認できるログのこと。印刷日時、印刷をしたデバイス、印刷ファイル名などが記録されます。
設定変更ログ
システムやソフトウェア、アプリケーションなどの設定変更の履歴を確認できるログです。具体的には、フォルダやファイルの編集や閲覧などの権限変更などを指します。
セキュリティログ監視によるメリット
セキュリティログを監視するメリットは次の3つあげられます。
1.システム障害の早期解決
2.セキュリティの強化
3.セキュリティログの改ざんを防ぐ
1.システム障害の早期解決
セキュリティログを監視することで、障害が発生しても早めの対処ができ、被害が拡大する前に食い止めることができます。場合によっては、障害の前兆を予測でき、ログから原因となる挙動を検知し、システム障害を未然に障害を防ぎます。
2.セキュリティの強化
セキュリティログの監視を行うことで、不正アクセスや機密データの持ち出しや改ざん、ログインの失敗など、異常な挙動をリアルタイムで把握・分析できるため、すぐさま不正の原因特定や追跡を行うことができます。また、セキュリティログを常に監視されている事実そのものが、不正行為への抑止力にもなり得ます。
3.セキュリティログの改ざんを防ぐ
攻撃者は、追跡から逃れるため、ログを改ざんする傾向にあります。一度、ログが消されてしまうと復元は難しく、原因の究明は困難となります。別のサーバに保存したり、バイナリデータや暗号化して保管したりするなど適切にログを保管をすることで、ログの改ざんを防げます。
セキュリティログ監視によるデメリット
セキュリティログ監視は、障害の早期解決やセキュリティ強化などの効果を得られますが、反面、導入コストがかかる、過剰に監視を行うと運用コストが増加するなどのデメリットもあります。
1.導入コストがかかる
2.過度な監視は運用コストの増加を招く
1.導入コストがかかる
当然ですが、セキュリティログの監視をするとなれば、専用のセキュリティログ監視ツールの導入が必要となります。導入費用や月額費用は製品や利用プランによって異なりますが、数万円から、高いものだと数百万円になることも。特に、オンプレミス型だと、専用のサーバやネットワークなどの構築が必要になるため、高額になりがちです。
2.過度な監視は運用コストの増加を招く
ログ監視をすれば、セキュリティレベルの強化や、システム障害の検知や早期解決などに大きな効果がありますが、過度に行うと運用コストが増大します。
というのも、分析・取得対象のログが増えるだけでなく、保管するログも増えて、維持管理のコストが高くなるためです。
ログが多ければ多いほど、複数のシステムを横断して分析ができるため、より精度高く、短時間で原因の究明が行えますが、その分、ログ分析を行う専任担当者のスキルも問われます。
高度な分析ができる専任担当者の教育が求められますし、候補となる人材が不在の場合は、専門業者へ外部委託をすることが必要となります。
セキュリティログ監視の機能
セキュリティログ監視ツールによって、搭載されている機能は異なりますが、主に検索機能、アラート機能、監視機能、レポート機能の4つが一般的な機能となります。
検索機能
セキュリティログのなかから、指定のログを検索する機能です。収集しているログデータが膨大になってくると、欲しいログ情報を探すだけで手間がかかってしまいます。And条件やor条件などで、細かく検索をすることで、特定のセキュリティログを抽出し、エラーや問題の対処に役立てます。
アラート機能
セキュリティログ監視ツールの基本機能の1つです。機密データへのアクセスや、不審なログイン試行、管理者権限の一括変更など、正常ではないログが検出された際に、管理者にアラートを飛ばす機能です。アラートは、端末画面へのポップアップ、メールやSMSへ送信など選択した手段で通知されます。
監視機能
セキュリティログ監視ツールの中核ともいえる機能の1つです。監視対象であるパソコンやスマートフォンなどの端末、ソフトウェア、OS、アプリケーションなどのセキュリティログを自動で24時間365日監視します。
レポート機能
セキュリティログをレポートにアウトプットする機能です。日次、週次、月次、年次など期間を設定できるほか、エラー件数や、拒否(ブロッキング)した通信数の一覧化・集計や分析なども行ってくれるため、より迅速に原因の特定が可能となります。
セキュリティログ監視ツールの選び方
セキュリティログ監視ツールは、製品によって機能・費用などが異なります。自社の課題に沿った製品なのか、下記に紹介する5つのポイントを踏まえながら入念に検討しましょう。
導入形態
導入形態は、大きくオンプレミス型、クラウド型の2つがあります。オンプレミス型は、自社専用のサーバやネットワークを構築するため、導入におけるコストや時間がかかるものの、複雑なログの分析や収集を行うことが可能となります。ただし、専用サーバやネットワークの運用や保守を行わなければならず、万が一障害などがあったときは自社で対応しなければいけません。
一方のクラウド型は、オンプレミス型と異なり、サーバやネットワークはベンダーが提供をしているため、専用のサーバやネットワークの構築は不要です。導入費用は安価で、すぐに利用開始できます。ただし、ログ監視する端末やソフトウェアごとに利用料が増える料金体系になっていることが多く、契約台数が多いとランニングコストが割高になってしまうことも。
費用
導入費用を抑えるならクラウド型がおすすめ。運用コストに関しては、契約プランやオプションプラン、監視範囲によって異なります。特定の端末のセキュリティログだけを取得・分析できれば良い、できるだけ幅広くセキュリティログを監視したいなど、自社のニーズに合わせて製品や契約プランを決めましょう。
サポート体制
セキュリティログ監視ツールでは、定期的な設定の変更や見直しが必要となります。自社にログ監視に知見のある専任担当者がいないのであれば、サポート体制が手厚い製品を選びましょう。サポート内容は製品によって異なりますが、電話やメール、チャットなどで操作方法の指導、設定方法の案内、また定例ミーティングなどを実施してくれるケースもあります。
操作性
ログをグラフ表示できない、画面が見にくいなど操作性に難があると、ログ監視の業務に大きな支障が出てしまいます。専門的な知識がない従業員でも問題なく使いこなせるUIなのか、無料トライアルやデモ動画などをチェックするなどして、操作性を確認しましょう。
機能性(容量・リアルタイム性)
リアルタイム取得、定期取得など、ログの取得のタイミングは製品によって異なります。
取得までにラグが生じると、不正アクセスやマルウェア感染などの侵入を許し、事態が深刻化してしまいます。
また、できるだけ多くのログを収集・保管したい場合は、導入を検討している製品が十分な保存容量を満たしているか確認することも肝心です。
【目的別】セキュリティログ監視ツール
セキュリティログ監視ツールの中でも、特におすすめの製品を3つご紹介します。それぞれ、機能や特徴、費用などが異なるため、自社のニーズと照らし合わせながら、比較・検討してみましょう。
Trend Micro Deep Security(DSaaS)
トレンドマイクロが提供するサーバセキュリティツールです。通常のセキュリティログ監視はもちろん、IPS/IDS機能、ファイアウォール、アプリケーションコントロール、不正プログラムの検出など、多角的にエンドポイントを保護します。
| 参考価格 | 無料トライアル | 提供形態 | サポート体制 |
| 要問い合わせ | あり | オンプレミス型クラウド(SaaS)型 | ○(手厚い) |
Zabbix
Zabbixは、Zabbix社が提供するオープンソース型の統合監視ツールです。20年以上の歴史を誇る製品で、オープンソース型のログ監視ツールの中ではトップクラスに知名度が高いです。サーバ、ネットワーク機器、仮想サーバなど幅広い領域を監視対象とします。オープンソース型の中でも、圧倒的に多機能で拡張性に優れていますが、監視設定の項目が多く、管理や運用の難易度はやや高めです。
| 参考価格 | 無料トライアル | 提供形態 | サポート体制 |
| 無料 | – | クラウド(OSS)型 | ○ |
Nagios Log Server
Nagios Log Serverは、Nagios Enterprises社が提供するオープンソース型の統合ログ監視ツールです。印刷機器の最大手ゼロックスや、アディダスといった有名企業の導入実績も。あらゆるネットワークやシステムにおけるログをリアルタイム取得できるだけでなく、原因となりうるログだけを迅速に検索ができます。
また、ダッシュボードは、ユーザー単位のカスタマイズが可能で、専門的な知識がない方でも使いやすいツールとなっています。ただし、2023年現在、日本においてNagios Log Serverの販売代理店が存在しておらず、日本語でのサポート対応を受けられない可能性があるため注意が必要です。
| 参考価格 | 無料トライアル | 提供形態 | サポート体制 |
| Single Instance520円 2-Instance650円 3-Instance780円 4-Instance910円 10-Instance1952円 | あり | クラウド(OSS)型 | ×(日本語対応していない) |
【FAQ】セキュリティログ監視についてよくある質問
最後に、セキュリティログ監視について、よくある質問についてまとめました。
初期装備されている機能では不十分?
例えば、Microsoftが提供するAzure Monitorなどでは、基本的なログの監視や分析が行えますが、セキュリティログに特化して監視を行う場合は、専用のセキュリティログ監視ツールが必要となります。
セキュリティログ監視ツールが動作しているか確認するにはどうすればいい?
利用中の製品の設定画面より、ログ監視が「オン」になっているか確認しましょう。「オン」という表示がなく、異常を示すエラー表示が見られる場合は、セキュリティログ監視ツールまたは監視対象である端末やシステム側に何らかの動作異常や遅延が生じているものと考えられます。
まとめ
今やパソコン、スマートフォンなどのデジタル端末は、日常生活に必要不可欠です。
インターネット通信に接続可能なデバイスがある限り、セキュリティリスクをゼロにはできません。
サイバー攻撃の被害に遭って、機密データや個人情報の漏えいや、生産工場の稼働停止などの事態になってしまえば、事業に大きな損害が出るばかりでなく、社会的信用も失ってしまいます。
万が一のときの備えとして、セキュリティログ監視ツールの導入を検討してみてはいかがでしょうか。
※この記事はこちらのサイトに記載の情報を元に制作しております。
コメント