「ログ管理」には、様々な段階があります。インシデントが起きた時、過去に遡って原因を探れるようにログを「長期保管」する場合もあれば、特定の意図でログを「可視化」し、外部攻撃などの不審な兆候を事前に検知する場合もあります。ManageEngineでは、これらの段階に応じて、複数のSIEM/ログ管理製品を提供しています。
ログ管理の対策レベルと具体的な実施内容
以下に、便宜的にログ管理段階のレベルを分け、個々の詳細と対応するManageEngine製品をご紹介します。
| レベル | レベル1 ログの長期保管 | レベル2 ログの可視化 | レベル3 ログの相関分析 |
|---|---|---|---|
| 内容 | 有事の際に被害の発生経路や要因を調査するためのトレーサビリティを確保。 ※JPCERT/CCからは、ひとつの目安として1年間のログ保管が推奨されている。 | ファイアウォール/プロキシ、Active Directoryのように、IPAやJPCERT/CCで監査が推奨されているログについての可視性を向上させ、定期的に監査する運用へ落とし込むことで、明らかな異常が発生した際に早急な対策を取れる状態を整える。 | 社内に高度なセキュリティ専門知識を持った担当者を配置するか、外部SOCなどを利用することで、内部ネットワークログの相関分析を日々行う。 |
| 対策ツール | ■統合ログ管理ソフト ※あらゆるログを収集・保管でき、検索できる仕組みを備えた製品が求められる。SIEMでも対応可能だが、ログ保管の用途のみで高額なSIEMを導入することは現実的ではない。 | 統合ログ管理ツールに加え、ファイアウォール/プロキシ、Active Directoryといった固有機器のログの可視性を高められる監査ツールの利用が好ましい。 ※監査ツール側で重要ログの抽出やレポート作成を行うため、最初にチェック項目だけを決めてしまえばシステム担当者レベルでの運用が可能。 | ■SIEM ※但し、高度な相関分析を行うためのデータ抽出や条件設定、日々のメンテナンスには専門知識を要するため、ツールの導入だけでは運用できず、組織内部もしくは外部に専門者を雇う必要あり。 |
| ManageEngine 対応製品 |
|
|
|
参考
<対策時のポイント>
・はじめから最高レベルの実施を目指さない
:レベル1、およびレベル2の実施が十分にできていない状況でレベル3の実施を目指した場合、保有しているリソースや予算の観点で現実と理想の乖離が大きくなり、結果として「ログ管理自体が困難」という飛躍した結論に至ってしまうケースがあります。自社のリソースに合わせた対策をお勧めします。
・「ツールさえあれば大丈夫」と思わない
:ログの相関分析を行うツールとしてSIEM(Security Information and Event Management)が有名ですが、高度な分析が行える一方、設定やメンテナンスにハイレベルな専門知識と多大な工数が必要です。高額な費用を投下してツールを導入し、初期設定までは行ったものの、その後のメンテナンスが追いつかず、上手く使いこなせないケースがあります。
↓↓↓ 次項、ManageEngine製品の詳細をご案内します。↓↓↓
「ログ保管/ログの可視化」の最適解、ManageEngineで身の丈にあった対策を!
上記に示したレベル3の実施には、どうしても高額なSIEMや専門知識を持った人員の確保が求められます。一方で、レベル1、レベル2の段階であれば、必要最小限の投資とリソースで対応が可能です。
ManageEngineでは、それぞれのレベル感にぴったりとはまる製品をリーズナブルな価格で提供することで、企業のセキュリティレベル底上げに貢献します。
以下は、各製品の詳細比較表です。
| レベル | レベル1 ログの長期保管 | レベル2 ログの可視化 | レベル3 ログの相関分析 | |||
|---|---|---|---|---|---|---|
| 内容 | 有事の際に被害の発生経路や要因を調査するためのトレーサビリティを確保。 ※JPCERT/CCからは、ひとつの目安として1年間のログ保管が推奨されている。 | ファイアウォール/プロキシ、Active Directoryのように、IPAやJPCERT/CCで監査が推奨されているログについての可視性を向上させ、定期的に監査する運用へ落とし込むことで、明らかな異常が発生した際に早急な対策を取れる状態を整える。 | 社内に高度なセキュリティ専門知識を持った担当者を配置するか、外部SOCなどを利用することで、内部ネットワークログの相関分析を日々行う。 | |||
| ManageEngine対応製品 |  統合ログ管理ソフト「EventLog Analyzer」 (イベントログ アナライザー) |  ファイアウォール/プロキシログ管理ソフト「Firewall Analyzer」 (ファイアウォール アナライザー) |  Active Directoryログ監査ソフト「ADAudit Plus」 (エーディーオーディット プラス) |  SIEMソフト「Log360」(ログサンロクマル) | ||
| 製品関連資料リンク | ||||||
| 製品詳細 | ・イベントログ・Syslogに加え、任意のテキスト形式のログを一元的に収集。 ・複数のログタイプを選択し、特定のキーワードで同時検索可能。 ・PCI DSS準拠レポート等、各種レポートを自動生成。 | ・ファイアウォール/プロキシの生ログを視覚的なレポートに自動出力。 ・Juniper SSG/SRX、Cisco ASA & Cisco Pix、FortiGate、PaloAlto、Squid、i-FILTERなど30ベンダー以上の主要なファイアウォールやプロキシサーバーに対応。 ・一定期間以上使われていないポリシーを抽出してポリシーの棚卸し作業を促進。 | ・ユーザー深夜ログオンやアカウントロックなどを監査することで、不正アクセスの検知を促進。 ・PCI DSS準拠レポート等、200種類以上の監査レポートを自動生成。 | ・EventLog AnalyzerとADAudit Plusの全ての機能に加え、Microsoft 365監査やUEBA(ユーザー・エンティティの行動分析)機能も提供 | ||
↓↓↓ 次項、ManageEngine製品の詳細をご案内します。↓↓↓
【参考情報】標的型攻撃対策におけるログ保管の種類と推奨期間
下記は、JPCERT/CCが公開している資料(※)から、標的型攻撃対策において取得が推奨されているログとその保管期間をまとめた表です。対応するManageEngine製品も掲載しています。
標的型攻撃による情報流出の疑いがあると発覚した際、攻撃者の侵入経路や情報流出に至った経緯を調査するために、下記のようなログを長期保管することが推奨されています。
| ログ種類 | 重要性 | オンラインログ (ログ管理ツールなどで即時検索可能な状態) | オフラインログ (アーカイブや外部媒体に保存されるログ) | EventLog Analyzer | Firewall Anlyzer | ADAudit Plus |
|---|---|---|---|---|---|---|
| DNS サーバ | Very High | 1~2年 | 2年以上 | ○ | - | △ WindowsDNSのみ可 |
| プロキシ サーバ | Very High | 1年 | 1年以上 | ○ | ○ | - |
| メール サーバ | High | 言及なし | 言及なし | △ メールアーカイブは不可 | - | - |
| Firewall | Medium | 6~12カ月 | 1年以上 | ○ | ○ | - |
| その他サーバ (AD等) | Medium | 3~12カ月 | 6カ月以上 | ○ | - | Active Directoryログの可視性の向上が可能 |
| ホストログ (PC端末) | Low | 1年 | 1年以上 | △ | - | - |
※「ログを活用した高度サイバー攻撃の早期発見と分析(プレゼンテーション資料)」を参照の上、編集・加筆。
↓↓↓ 次項、ManageEngine製品の詳細をご案内します。↓↓↓
ID(アカウント)管理/アクセス管理でログの可視化を促進
Active DirectoryやWindows OSおよびファイアウォールから出力されるログだけを見ても、正常なログと非正常なログを全て判別することは困難な場合があります。個々のログの可視性を上げるために、ID(アカウント)/アクセス管理を適切に行うことが有効です。例えば、特権IDやActive Directoryのドメインアドミンアカウントを活用する場合のルールを定義し、運用に乗せることで、どのようなログの状態が「正常」なのかを明確に定義でき、ひいては異常ログの速やかな検出につながります。
また、ログ監査の一環として、特権IDの利用と申請内容の突合が求められることがあります。ID/アクセス管理の統制がとれておらず、誰でも簡単に特権IDを利用できる環境であれば、正常な業務として特権IDが活用された場合のログと、不正に活用された場合のログの見分けが付かず、異常を検知することはほぼ不可能となります。
>> ManageEngineが提供する特権ID管理ソフト「Password Manager Pro」についてはこちら