ログ分析サービスでセキュリティや労務リスク対策を強化する方法

ログ分析サービスでセキュリティや労務リスク対策を強化する方法

2019-06-06

2020-04-28

各種ログを取得しているものの、情報漏えいやシステム監視等にログを活かせていないという方に、ログ分析サービスの仕組み、導入メリットや活用が期待できるサービスについてご紹介します。 （最近では、労務リスク対策への活用も増えていますので、それらも含めてご紹介します）

ログ分析サービスとは？

主にセキュリティ面のリスクが発生していないかを検知・把握するために、サーバー、ネットワーク機器やPC等に蓄積されたログ情報を収集して統合的に分析するサービスです。

社内セキュリティ・ポリシーの違反検知として、例えば、USBメモリの不正利用を検知するのであれば、PCにインストールしたIT資産管理ツールやPC管理ツールの標準機能でも検知可能です。このように、予め想定されている違反やリスクであれば、IT資産管理ツール等で防ぐことができますが、想定しきれないものや、想定しても発生経路や要因が複雑で、簡単には把握できない事象に対しては、ログを分析することが必要になります。

ログ分析には、ログ収集の仕組み整備やログの分析手法が必要になりますので、それらを有するログ分析サービスが利用されます。

ログ分析サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

 

ログ分析サービスの仕組み

ログ分析サービスは、「ログの収集・集約」、「データベースでのログ分析」、「ログ分析結果の報告・通知」の3つで構成されます。

• ログの収集・集約

ログを生成する各機器から、一か所にログを集約すべく、ログ管理・分析サーバーにログ情報を送信します。PCのログ取得にはIT資産管理ツールやPC管理ツールを利用することが一般的です。サーバーやネットワーク機器等は、標準のログ出力機能でログ管理・分析サーバーに転送するか、サーバー監視ツールがログを取得して転送するかになります。

• データベースでのログ分析

ログ管理・分析サーバーのデータベースに格納して、分析ツールを用いて分析を行います。この際、事前に定めたパターンやシグネチャと照合するパターンマッチング、教師データを用いた機会学習による検知、アナリストによる人手による分析・解析、等が行われます。

• ログ分析結果の報告・通知

ログを分析した結果、早急に対応すべきことがある場合は、アラートとして分析結果が通知されます。また、分析の結果は、レポート作成機能によりレポートとして取りまとめられます。

ログ分析サービスは、全て自動的に行われるクラウドサービスというよりは、人手や分析ノウハウも含めたコンサルティング的要素が含まれるサービスが多いです。それは、ログのパターンマッチングやAIによる分析結果等だけでは明確なリスクだと判断しきれず、リスクありそうなものを最終的に人が見て判断した方が検知精度を高くできることが理由です。

そのため、ログ分析サービスでは、専門知識や分析の経験を積んだアナリストがその役割を担うことが多いです。

 

ログ分析サービスの活用効果やメリット

ログ分析サービスを活用すると、主に次のような効果・メリットがあります。

• 情報漏えいの防止

不正アクセスによる情報取得の防止、社内セキュリティ・ポリシーに違反するWebメール等のサービスやUSBメモリ等のデバイスの禁止、機密情報が保管されている社内ファイルサーバーへの必要以上のアクセスの抑制により情報漏えいを未然に防ぎます。

• システム運用監視による異常発生の防止

サーバーやネットワーク機器等の稼働状況を監視することで、システムトラブルによるシステムの停止を防ぎます。これは、サーバー等の稼働に異変が発生した場合に素早く検知するだけでなく、日々のシステムの稼働状況から、リソース逼迫によるシステムトラブルの兆候を掴むことで、異変発生前に対処できるようにするためです。

• サイバー攻撃の検知

社内サーバーやネットワーク機器での通信の痕跡から標的型攻撃等を検知して、被害が拡大する前に早期発見します。

• セキュリティ・インシデント発生時の要因分析

セキュリティ・インシデントが発生した際に、誰がいつどのようにして問題を引き起こしたのか、ログの分析から把握できるようになります。

• 労務リスクの低減

最近では、情報セキュリティだけでなく、労務リスクの低減にもログ分析サービスが活かされています。例えば、労務リスクとしては、残業時間が法定時間を超過してしまう超過勤務や、就業時間中に業務とは関係のないことをしてしまう不就労のリスクが挙げられます。さらには、優秀な従業員が悩みを抱えていて転職してしまう離職リスクもあります。これらは、PC、Webや勤怠管理システム等のログ情報から未然に把握できますので、ログ分析サービスの利用が期待されています。

 

ログ分析サービスの活用方法

ログ分析サービスの導入目的を明確にしたとして、ログ分析サービスを活用するために必要なことは次の3点です。

1. 分析に必要なログの確保

ログ分析から知りたいことを定義した上で、そのために必要なログ情報を取得できるようにします。IT資産管理ツール等を導入している場合は、取得できる情報の種類が多く、ついつい様々に分析したくなってしまいますが、目的にあまり直結しない分析は不要なので注意が必要です。また、取得に際して、データ形式はデータ転送時か分析ツール側で分析しやすいように加工できますが、ログの細かさ（データ項目の数やログとして記録する頻度等）は多くしすぎるとログ収集側もログ管理ツールにも負荷が高まってしまいますので、最低限度で取得するようにしましょう。

2. ログ分析の仮説出し

ログ分析の手法においては、ログ分析サービス側がテンプレートを保有していますが、検知したい内容によってはテンプレート以外の分析が必要になります。例えば、社内情報を持ち出す場合、自社の社員では、どのようなシステムに、どのような方法でアクセスして取得するのか、その動機の予想も含めて、自社の事情やシステムを把握しているからこそ立てられる仮説があるはずです。それら知見は事業者任せにせず、ログ分析に活かせるようにしましょう。

3. アラートや分析結果の活用方法や危機管理体制の検討

せっかくリスクに関するアラート通知や分析結果の報告がなされても、社内でどう対処した方がわからない、どの部署を巻き込めばよいのかわからない、となると、折角の情報が活かせず、リスクが拡大してしまいます。例えば、機密情報の持ち出しが報告され場合は、IT部門が流出内容調査や原因調査を行い、人事部門では本人の身辺確認を行う、経営層にはこのタイミングで通知してこのような材料をもとに判断を仰ぐ、等のエスカレーションを含めた対応フローや危機管理体制を決めておく必要があります。

 

主なログ分析サービス（5サービス紹介）

ここでは主なログ分析サービスをご紹介します。

内部脅威検知サービス（株式会社エルテス）

（出所：内部脅威検知サービス公式Webサイト）

情報漏えい等の情報セキュリティに加えて、超過勤務や離職リスク等の労務リスクをも分析するサービスです。企業内のPC操作ログやクラウドサービス等の様々なログを収集して、リスクシナリオ（リスクパータン）、機会学習、アナリストによる知見等を用いて分析を行います。この際、単一のログではなく、複数の種類を組み合わせて、統合的に分析することで、これまで発見できなかったリスクを検知できるのが強みです。

PCセキュリティログ分析サービス（株式会社オージス総研）

（出所：PCセキュリティログ分析サービスWebサイト）

PC管理ツール等で取得した大量のログをApache SparkやAmazon EMR等を用いて高速で分析できるようにしたサービスです。不正なWebアクセス、USBメモリによるデータ持ち出し等の検知や、セキュリティ・インシデント発生時の原因究明分析に役立ちます。分析方法としては、事前に目的・要件に応じたテンプレートを作成して、テンプレートに従って分析を行います。

ログ解析サービス（株式会社ラック）

（出所：ログ解析サービスWebサイト）

標的型攻撃のメールやWebサイトの改ざん等による社内へのマルウェアの侵入を、プロキシサーバーのWebアクセス履歴を解析することで、マルウェア感染や不審な通信を検知するサービスです。分析手法としては、不審な通信に関するブラックリストを用いたマッチングや、アナリストによる解析により検知します。マルウェア感染以外にも、情報漏えいの分析や社内セキュリティ・ポリシー違反の分析に活用されます。

クライアントログ解析サービス（株式会社ディアイティ）

（出所：クライアントログ解析サービス公式Webサイト）

退職者の情報持ち出しの防止、社内不正行為の予兆検知や事後分析等のために、PC管理ツールで取得したログを分析するサービスです。リスクの予防や発生時対処だけでなく、社内PCの活用度の確認や労働実態の把握のための調査などにも役立ちます。

SAMS（アイビーシー株式会社）

（出所：SAMS公式Webサイト）

システムの運用監視やセキュリティ・インシデント分析等、システムの運用・保守に必要な一連の業務を行うMSP（マネジメントサービスプロバイダ）サービスです。SAMSでは24時間365日体制でシステム運用監視を行うことに加え、将来の障害発生に備えて、サーバーやネットワーク機器等のログ情報を集約して分析し、問題点や改善策のレポーティングを行います。システムの運用に手が回らない、ログ分析も全然できていない、という場合に丸ごと任せられるサービスです。

 

まとめ

ログの収集は、PC管理ツール、IT資産管理ツールやサーバー監視ツール等の普及により進むようになったものの、集めたログを上手く活用できていないという問題がよく指摘されています。その要因は、情報セキュリティ等の発生要因や経路などを理解した上での分析が必要になるためで、必ずしも低い敷居ではないことが挙げられます。

一方で、リスク発生のパターンを理解した事業者がそれらをパターン化したり、機会学習による解析を加えたりすることで、分析手法が徐々に一般化してきました。

情報セキュリティや労務リスクの対策は社内のルール整備や啓蒙だけではまだまだ不十分なため、ログの確認・分析による抑止が期待されています。リスク対策をさらに一段強固にするために、ログ分析サービスの活用は有効な一手です。

ログ分析サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

 

関連レポート

作り手の生の声が聞けるインタビューはこちら。