ITの保守運用において、機器の不具合やシステムエラーの調査のため、ログを確認して原因を特定・対処することがあります。ほかにもログは監査や不正操作の証拠としても用いられており、ログ管理は非常な重要な業務の一つといえます。
ここでは、ログ管理の概要や、ログ管理が効率的に行える専用のシステムについて紹介します。
ログ管理とは
ログ管理とは、保守管理や状況の調査・分析のために、さまざまなシステムや機器のログを「収集」し、適切に「保管」することを指します。
ログの保管は利用状況を調査・分析するために行われます。具体的には異常事態(障害、内部不正、脅威侵入)の発生または疑いがある場合の調査に備えて、一定の期間ログが保持されます。
またログ管理の専用のシステムで一元管理することで、各システムに個別にアクセスしなくてもログの内容を確認することができます。専用システムは機器やシステムによって形式がバラバラなログを変換して整え、検索したり活用しやすくしてくれるのも便利です。
ログとは
ログとは機器やシステムの稼働時に発生したイベントの内容と日時を記録したものです。たとえばシステムログインやネットワークのアクセスといった利用状態、エラーなどの障害発生、また設定変更のような環境変更がログとして記録されます。ログは時系列で保存され、履歴として確認できます。
システムだけでなく、入退室記録や監視カメラの映像などの継続的な記録も広義のログとして扱われることがあります。
ログの種類
ログの仕組みはさまざまなITシステムにあり、設計によって作成されるログの種類も形式も異なります。ここではセキュリティシステムのログや、ネットワーク機器や端末によくあるログ、さらに広義のログについて説明します。
セキュリティシステムの監視・検知ログ
ITセキュリティに関する各種システム(ファイアウォール、IDS/IPS[侵入検知/侵入防止システム]、WAF、ウイルス対策ソフト)は対応範囲(ネットワークから端末まで)に応じて、通信や挙動の監視ログ、脅威の検知ログ等を作成します。
- 一例
-
- セキュリティシステム(ファイアウォール、IDS/IPS、WAF)の通信監視ログ・拒否ログ
- ウイルス対策ソフトの脅威検出・駆除・スキャンログ
セキュリティシステムのログは脅威の侵入経路や、インシデントの発生時間の特定が可能になります。
エラーログ
エラーログはシステム処理の失敗やハードウェアの動作エラーの発生時などに作成されます。エラーの発生箇所や内容、頻度など、エラーログを分析してシステムの不具合や障害、ハードウェア故障のトラブルを把握します。
通信・アクセスログ
通信ログやアクセスログは、ネットワーク機器や各種サーバー(Webサーバー、ファイルサーバー、データベースサーバー)、パソコン等のクライアント端末との接続やデータ通信状況の記録です。ログから送受信先、アクセス経路、通信データ量を把握し、不正アクセスやサイバー攻撃のような脅威を察知することもできます。通信エラーのログを分析し、通信環境の整備・改善に役立てることもできます。
システム・端末の操作/動作ログ
操作/動作ログは特定の端末やシステム内でのユーザーの操作や動作の記録です。次にあげるものが相当します。
- 電源操作・起動
- システム認証(ログイン成功・失敗)
- 設定変更
- アプリ/ファイル操作
- ネットワーク接続・Web閲覧
- 周辺機器・外部記憶媒体の動作
操作ログや動作ログによって、万一の不正行為や情報漏えいの特定や原因追求が可能になります。
その他、広義のログ
ITシステムや機器を介さずに起きる物理的な事象を記録したものを「ログ」とみなすこともあります。
- 印刷ログ
- 物理的な動作や事象の記録
- 監視カメラの映像記録
広義のログには昔からのアナログな記録と、センサーやIoT、映像によるデジタル記録があります。
印刷ログは社内書類のコピーによる情報流出がなかったか、事後検証に使われます。ほかに建物や室内の入退室記録、センサー等による出入口の開閉、IoTによる温度・照度の記録があります。
ログ管理の目的
ログ管理の目的はITシステムの健全な運用・維持に役立てるためです。具体的には次の3つの目的、「使用状況の監視」「トラブル解決や改善」「ガバナンス」のために用いられます。
システム使用状況の監視
ログの一元管理はITシステム全般の監視にも使えます。セキュリティの状態、また利用状況のモニタリングが可能です。機器やシステムのログを横断的に見て、社内ルールに違反した操作がないか、適正に利用されているかをチェックできます。稼働時間のログにより、従業員の勤怠実態の確認もできます。
トラブルの原因分析・改善案策定
障害や問題発生時にログを分析することで、原因を調査・特定して解決や改善に向けたり、対策を立てられます。他のシステムアラートでトラブルの兆しを察知したら、ログをチェックして本格的なシステム停止や故障前に対処もできます。さらにログは不正利用や脅威の検知、セキュリティ事案発生後の原因究明にも役立ちます。
トレーサビリティ(追跡可能性)の観点からも、正常なログも含めてログを収集し、適切に保管しておくのが非常に重要です。
監査対応
外部監査では必要に応じてログの提出が求められることがあります。監査を受けるにあたり、提出すべきログの種類や保持すべき期間をあらかじめ確認し、日常的にログを収集し適切に保管しておかなくてはなりません。特にISO(ISMSやPマーク)などの各種認証を受ける際も、ログ提出が必要になることが多いため留意しましょう。
統合ログ管理システムの概要
統合ログ管理システムとは、ネットワーク機器やサーバー、端末、またOSや各種システムなどのあらゆるログを収集して、効率的に管理・分析できるツールです。
ログは機器やシステムごとに独自に設計されていて、形式も統一されていないため、専用ツールなしで調査・分析するには困難がともないます。
しかし、統合ログ管理システムがあれば、各システムにログインしなくてもログを監視したり、ログの横断検索・調査ができるようになります。しかもログは時系列にソート可能なので、因果関係を追跡しやすくなります。
統合ログ管理システムの機能
統合ログ管理のシステムにもよりますが、おおむね以下の4つの機能が装備されています。
ログ収集
ログ管理の前提としてログの収集が適切にできていなければなりません。統合ログ管理システムは、各種の機器やシステムの多様な形式のログをうまく収集します。ログは自動収集されるため、担当者による都度操作は不要です。
ログの保管
収集したログは定期監査や保守業務のため、また万一の事案発生に備えて一定期間の保管が必要です。
すべてのログを長期保管するとなると容量が膨大になるので、統合ログ管理システムにはログデータの圧縮機能が備わっています。加えて、ログの暗号化機能があれば、より安全にログを保管できます。
ログ分析・レポート
統合ログ管理システムではログ分析・レポート機能があり、収集したログをシステム内で集計・統合し、分析レポートとして出力させることも可能です。レポートはさまざまなグラフ形式で時系列や時間帯別に表示するなど、状況をわかりやすく可視化できます。
監視/モニタリング
統合ログ管理システムではシステムの異常や不正操作を示すログをリアルタイムに検知して、管理者にアラートを通知できます。ログレベルでのモニタリングで早期対応も可能になります。
まとめ
ログ管理はITの保守運用だけでなく、監査・ガバナンスなど企業管理の面においても必要とされています。企業の情報セキュリティ体制やIT管理をより効率化・向上させるため、統合ログ管理システムの導入を検討されてみてはいかがでしょうか。
