ログの管理とは何か? ログは何故に必要なのか?

What Is Log Management and Why you Need it

2021/09/06 StateOfSecurity — デジタルの時代で競争力を維持するために、企業の恒常的な投資は、新しいハードウェアやソフトウェアの、IT 環境への導入へと向かっていく。ただし、問題がある。これらの IT 資産には脆弱性があり、パッチが適用されない場合には、その脆弱性を脅威アクターが悪用し、組織内のデバイス設定の不正変更や、機密情報の変更/漏えいなどが生じることになる。

これらの侵害のシナリオにおいて、いずれの場合であっても、攻撃者はネットワーク上に最初の足場を築き、その足場を利用して他のシステムへ移動したり、重要なデータを流出させたりしながら、さらなる被害をもたらしていくだろう。

そのため、企業は、SCM (Security Configuration Management) と、FIM (File Integrity Monitoring) を活用することで、これらのリスクに対処し、攻撃対象を減らすことができる。しかし、それらがカバーするのは、自社の環境の一部でしかない。つまり、IT 環境の中で何が起こっているのかを、正確に把握できなければ、インフラの適切な保護を望むことは不可能だ。そして、そのレベルの可視性を得るためには、ログ管理が必要となる。

基本事項の理解

どのようにログが機能するか、大まかに説明していく。ネットワーク内の、各イベントはデータを生成していく。それら情報は、オペレーション・システム/アプリケーション/デバイスなどが生成する記録として、ログに反映される。つまり、ログは、セキュリティの可視化において不可欠である。ログの収集/保存/分析を怠ると、デジタル攻撃を受ける恐れがある。

Center for Internet Security (CIS) も、この考えに賛同している。非営利団体であるCIS が、重要なセキュリティ・コントロール (CSC : Critical Security Controls) の第8版に、ログ管理を取り込んだのも、そのためだ。また、CIS Control 8: Audit Log Management に関連する12のセーフガードのうちの3つを、組織における基本的なサイバー衛生を実現するための優先順位付けである、First Implementation Group (IG1) に取り込んだ理由も、そこにある。

ログ管理に投資しない組織は、脅威を検知するために努力しても、危険にさらされることになる。その一例として、CISは、不十分なログ管理の脅威について説明している。ログ管理は、インシデント対応にも不可欠である。今日、デジタル攻撃者は、組織のネットワーク環境の複雑さを利用して、隣の IT 資産に横移動し、機密情報を流出させることもできる。したがって、セキュリティ・チームに完全なログを分析する能力がなければ、セキュリティ・インシデントで生じた現象を、正確に把握/判断することが困難になる。

ログ管理プロセス

完全なログ管理プロセスには、5つの要素がある。それらの概要を、以下に説明する。

1:コレクション
組織は、暗号化されたチャネルで、ログを収集する必要がある。そのためのログ管理ソリューションは、ログを収集するため多様な手段を備える必要がある、最も信頼性の高い手段を推奨していく。一般的には、可能な限りエージェント・ベースの収集を使用すべきだ。この方法は、エージェント・レスと比べて、安全で信頼性が高いとされる。

2:ストレージ
組織は、ログを収集した後に、ログの保存/圧縮/暗号化/保管、アーカイブを行う必要がある。そのためのログ管理ソリューションに対して、追加機能を求めることができる。例えば、ログを保存する地理的な場所を指定する機能などがある。このような機能は、コンプライアンス要件を満たし、拡張性を確保するのに役立つ。

3:サーチ
組織は、保存したログを見つけ出す必要がある。そのためには、平文/REGEX/API クエリなどにより、記録を発見できるようインデックスを作成する必要がある。包括的なログ管理ソリューションでは、フィルタや分類タグを使って、各ログの検索を最適化することが可能だ。また、生のログの閲覧や、広範/詳細なクエリの実行、複数のクエリを一度に実行した結果の比較などを可能にする必要がある。

4.:相関関係
組織は、興味深いイベントを検出し、自動化されたアクションを実行するための、ルールを作成する必要がある。もちろん、ほとんどのイベントは、1つのホスト上の1つのログに集約されるわけではない。そのため、それぞれの環境が直面する固有の脅威や要件に応じて、相関ルールを作成するためのログ管理ソリューションを探す必要がある。また、脆弱性スキャンや資産インベントリなどの、他のデータソースをインポートできるツールを探すべきだ。

5:アウトプット
組織は、ダッシュボード/レポート/電子メールなどを使って、ログ情報を各種のユーザーやグループに配信する必要がある。そのためのログ管理ソリューションは、他のシステムとのデータ交換に加えて、他のセキュリティ・チームとのコラボレーションを容易にするものである必要がある。

Tripwire Log Center の特徴

Tripwire Log Center は、これら5つのパラメータを考慮している。特に、カスタマイズされたログ・ルールの作成/全データの収集と保存/ネットワーク上の注目すべきイベントに応じたダッシュボードのカスタマイズ/データのフィルタリングによるノイズの削減などを可能にしている。Tripwire のログ管理ソリューションの詳細については、ここをクリックしてほしい。ログ管理は、企業が新しいセキュリティソリューションを購入する際に考慮すべき、5つのセキュリティ・コントロールの1つである。詳細については、このホワイト・ペーパーをダウンロードしてほしい。

この記事は、Tripwire の広告記事ですが、ログ管理の重要性と要点を整理してくれるので、とても有益だと思います。文中の、SCM (Security Configuration Management) も FIM (File Integrity Monitoring) も、その効果は限定的なものというわけです。以前にポストした「2021年 Q1 に検出されたマルウェアの 74% は従来からの防御をすり抜ける」という記事が、とても印象に残っています。よろしければ、ご参照ください。

%d bloggers like this: