ログ管理の必要性
企業のネットワークセキュリティーレベルを維持するには、ネットワーク内で発生した通信やイベントの情報を示すログ管理は欠かせません。
ログデータに着目することでネットワークで発生しているイベントに関する情報を生データとして確認することができます。また、そのログデータを適切に管理することでログが本来示しているネットワーク内でのイベント情報をより分かりやすくすることができます。したがって、ログ管理を行なうことはネットワークのセキュリティ管理者が、そのネットワークの安全を維持するために必須の業務となっています。
ログ管理は、主に ログの収集、 保管、解析、 レポート化/可視化、アラート通知 から構成されます。
ログの収集
- ログ収集は安全に行なわれる必要があります
- ログ収集を行なう際は、対象のネットワーク内の様々なネットワーク機器、サーバー、アプリケーションから収集を行なう必要があります。
- ログ収集は基本的にエージェントを使用せずに(エージェントレス)で行ないます。ただし、一部のネットワーク環境においてはエージェントを使用したログ収集(エージェントベース)も必要な場合があります
保管
- 収集したログデータをアーカイブ(生データ)として長期保存します
- ログデータを保存する際にも暗号化や改ざん検知等を用いて安全性を確保する必要があります
- 保管場所は外部からのデータに対する不正アクセスや操作などから身を守ることができる必要があります
- また、データの保管期間は、管理者のセキュリティーポリシーに沿って、任意で自由に設定できることが大切です
- 保管場所自体も媒体として柔軟であることが求められます(読み取り専用媒体や大量ストレージシステム等)
ログの正規化
収集後のログデータを管理する時は、様々な機器/サーバーから出力されたログデータを共通のフォーマットで管理できるように標準化する必要があります。この標準化は、データの出力内容や複数のデータの相関性を解析するのに必要不可欠となります。
ログ解析
ネットワーク上で発生したイベントを完全に把握するには収集したログデータに基づくログ解析が必要です。
レポート化とアラートの生成
解析後のログデータはレポート等でわかりやすく可視化され、またある特定のログに対しては、受信時にアラートを生成することも必要です
- 予め定義した条件に一致するログをフォーマットにかかわらず、定期的に通知するためのレポートの出力が必要になります
- したがいまして、アラート通知機能が必要です。また、アラート発生時の対処方法を明確にしておくことが大切です。
上記の内容から、ログの管理を行なうことはネットワークセキュリティ監視の基幹部分となり、このような複雑なログの管理を行なうためには、何らかのログ管理ツールを使用することによって、よりスムーズに運用が行なえることが考えられます。