ログから始める サイバーセキュリティとクラウド運用 インフォサイエンス株式会社 プロダクト事業部 サイバー セキュリティ コンサルティング チーム 安達 賢一郎 2018/02/07 Infoscience Corporation

Transcription

1 ログから始める サイバーセキュリティとクラウド運用 インフォサイエンス株式会社 プロダクト事業部 サイバー セキュリティ コンサルティング チーム 安達 賢一郎 2018/02/07 Infoscience Corporation Tel: Fax:

2 インフォサイエンス株式会社 概要 設立 1995年10月 代表者 宮 紀雄 事業内容 パッケージソフトウェア Logstorage シリーズの開発 データセンタ運営 受託システム開発サービス 包括システム運用サービス 所在地 東京都港区芝浦2丁目4番1号 インフォサイエンスビル 2

3 ログから始める サイバーセキュリティとクラウド運用 1. ログ管理とは 2. Logstorageラインナップ紹介 3. 効率的なクラウドセキュリティ インフラ運用 4. ログ管理による効率的なサイバー攻撃検出の考え方 5. 事例ご紹介 3

4 なぜログを管理しなくてはならないのか ログ管理 の目的とは 脅威対策 脅威の検出 標的型攻撃 内部情報漏えい フォレンジック 攻撃を受けた際の証拠保全 コンプライアンス 各種法令 業界 団体ガイドラインへのログ管理要件への充足 システム運用 システムの状態把握 障害時の調査 解析 4

5 ログでないと検出できない脅威(1) 従来の対策は 入口 出口 でのポイントの対策 外部攻撃者 ファイルサーバ 社員 職員端末 デバイス制御で不 正な利用の制限 アクセス制御で 不正なアクセス の制限 アンチウイルス で防御 プロキシ ファイアウォ ールで外部通信の制限 C&Cサーバ 悪意のある 社員 職員 従来はネットワークの入口 出口での防御や制限が中心だったが 5

6 ログでないと検出できない脅威(2) 入口 出口 対策の限界 外部攻撃者 社員 職員端末 ファイルサーバ 設定漏れ ミスで不 正なデバイス利用 マルウェアの検 知が困難に マルウェアの巧妙化で外 部通信を抑止できず C&Cサーバ 悪意のある 社員 職員 設定漏れ ミスによ る重要ファイルへの アクセス アンチウイルスソフトのマルウェア検出手法の限界 アクセス制御の漏れ 設定ミスを防止しきれない 入口 出口での個別の対策は限界に達しつつある 6

7 ログでないと検出できない脅威(3) ログ管理 で侵入を前提とした対策へ 外部攻撃者 社員 職員端末 ファイルサーバ デバイス利用 アクセスログ ログを横断的に収 集 分析して侵入 を検出 ファイルサーバ アクセスログ アンチウイルス で防御 プロキシ ファイアウォ ールログ C&Cサーバ 悪意のある 社員 職員 システム内のログを横断的に収集 分析を行い いち早く侵入を検出 侵入を防止する から 侵入されていることを前提とした 対策へシフト 7

8 各種法令 ガイドラインに於けるログ管理要件 ログ管理に関する要件が明記されている法令 ガイドライン 発行者 タイトル 政府等 個人情報保護法 金融商品取引法 マイナンバー 番号法 政府機関等の情報セキュリティ対策 のための統一基準群 民間 ガ イドライ ン等 経済産業省 クラウドセキュリティガイドライン 経産省 クラウドサービス利用のための情報セキュリ ティマネジメントガイドライン 監視 システムを監視することが望ましく また 情報 セキュリティ事象を記録することが望ましい 具体的な要件 監査ログ取得 実務管理者及び運用 担当者の作業ログ ISO27001/ISMS システム使用状況の 監視 障害のログ取得 組織における内部不正防止ガイドラ イン ログ情報の保護 クロックの同期 PCIDSS クレジットカード クラウド環境を含め システムのログ管理を行うことは セキュリティを確保する上 でもはや 前提条件 となっている 8

9 システム運用に於けるログ管理 システム運用に際してもログ管理は必須 ログを管理せず サーバに保存しておくと 障害発生 管理者はいちいち各サーバにログインしてログを確認 する必要がある ヒューマンコストの増大 サーバに障害が発生してしまうと 復旧するまでログ を見ることすら出来なくなる ログ管理を行うことで ログ管理 システム ログ管理 システム ログ管理 システム 障害発生 ログ管理システムに集約することで 管理者の負担を 低減し 重要な作業にリソースを振り分けられる 障害が発生しても ログ管理システムに集約しておく ことでログ確認が可能 早期の原因究明が可能となる 9

10 ログ管理 に必要な要件 ログ管理 に求められる機能 要件とは ログを集める ログを保存する 多様なファイル 転送方式でログ を集約する 大規模なシステムではログが大量 に出力され ストレージを圧迫 侵入者からログを守る 集約したログの安全な保管 Logstorageはオールインワンで ログ管理 に対応 ログを検知する システム側で能動的にイベントを 検出し 管理者にアクションを促 す ログを調査する 大容量のログから必要なログを横 断的に高速 ピンポイントで検索 レポートで定期的にレビュー 10

11 ログから始める サイバーセキュリティとクラウド運用 1. ログ管理とは 2. Logstorageラインナップ紹介 3. 効率的なクラウドセキュリティ インフラ運用 4. ログ管理による効率的なサイバー攻撃検出の考え方 5. 事例ご紹介 11

12 Logstorage ご紹介 Logstorage とは あらゆる場所 フォーマットで点在するログを管理 分析する 純国産の統合ログ管理システムです 内部統制 情報漏 えい対策 サイバー攻撃対策 システム運用監視 業務効率改善など 多様な目的に対応できる 統合ログ分野でのデフ ァクトスタンダード製品です Logstorageは11年連続市場シェアNo.1 導入実績 累計 2,300社 その他 C製品 B製品 Logstorage 39.6 A製品 出典 ミック経済研究所 情報セキュリティソリューション市場の 現状と将来展望2017(統合ログ管理市場) 12

13 Logstorage ラインナップ 統合ログ管理製品の決定版 Windows ファイルサーバログに特化した オールインワンパッケージ 日本国内のセキュリティ運用にフィットした SIEM製品 AWSを始めとして Microsoft Azure等の様 々なパブリッククラウドのログ管理ツール 13

14 機能 システム構成 ログ収集機能 [受信機能] Syslog / FTP(S) / 共有フォルダ / SNMP [ログ送信 取得機能] Agent EventLogCollector SecureBatchTransfer ログ保管機能 ログの圧縮保存 高速検索 ログの高速検索用インデックス作成 ログの改ざんチェック機能 ログに対する意味 タグ 付け ログの暗号化保存 保存期間を経過したログを自動アーカイブ ログ検知機能 ポリシーに合致したログのアラート ポリシーはストーリー的に定義可能 (シナリオ検知) <Logstorage システム構成> 検索 集計 レポート機能 ログの検索 集計 レポート生成 インデックスを用いた高速検索 検索結果に対する クリック操作による絞込み レポートの定期自動実行(HTML/PDF/CSV/TXT/XML) 14

15 ログ収集実績 連携製品 日本国内で利用されているソフトウェア 機器を中心に250種以上のログ収集実績 OSシステム イベント Web/プロキシ アンチウィルス 複合機 Windows Solaris AIX HP-UX Linux BSD Apache IIS BlueCoat i-filter squid WebSense WebSphere WebLogic Apache Tomcat Cosminexus Symantec AntiVirus TrendMicro InterScan McAfee VirusScan HDE Anti Vuris imagerunner Apeos SecurePrint! クライアント操作 Logstorage アライアンス製品 LanScope Cat InfoTrace CWAT MylogStar IVEX Logger 秘文 SeP QND/QOH サーバアクセス LanScope Cat SecureCube / AccessCheck CWAT InfoTrace MylogStar IVEX Logger シリーズ i-filter MaLion ICカード認証 VISUACT SSDB監査 SmartOn ARCACLAVIS Revo PISO SKYSEA Client View Palo Alto Networks NGFW Amazon Web Service (AWS) Microsoft Azure ALogコンバータ VISUACT File Server Audit CA Access Control 運用監視 Nagios JP1 Systemwalker OpenView データベース Oracle SQLServer DB2 PostgreSQL MySQL データベース監査 PISO Chakra SecureSphere DMG/DSG SSDB監査 AUDIT MASTER IPLocks Guardium Lotus Domino Lotus Domino Notes AccessAnalyzer2 Auge AccessWatcher ネットワーク機器 Cisco PIX/ASA Cisco Catalyst NetScreen/SSG PaloAlto PA VPN-1 Firewall-1 Check Point IP SSL-VPN FortiGate NOKIA IP Alteon SonicWall FortiGate BIG-IP IronPort ServerIron Proventia メール MS Exchange sendmail Postfix qmail Exim その他 VMware vcenter SAP R/3 (ERP) NetApp (NAS) ex-sg (入退室管理) MSIESER isecurity Desk Net s HP NonStop Server BOX Office 365 その他 15

16 ELC Analytics Logstorage Ver.6 の標準機能に Windowsイベントログ ファイルサーバのログ収集 解析機能を追 加したオールインワンパッケージ ログ収集 解析機能 エージェントレス(非常駐プログラム) による自動ログ収集機能 イベントログの解析 変換機能 ログ保管機能 ログの圧縮保存 高速検索機能 ログの暗号化 改ざんチェック機能 ログの自動アーカイブ機能 ログ分析機能 ログの検索 集計 レポート 検索結果からクリック操作による絞込み レポートの定期自動出力 ELC Anatytics に同梱されるLogstorageの機能には一部制限がございます 16

17 Logstorage X/SIEM リアルタイムでの高度なログ分析を提供 ファイルサーバ Windows ルーター スイッチ Linux Firewall ログ収集機能 Agent ELC [受信機能] Syslog / 共有フォルダ [ログ送信 取得機能] Agent EventLogCollector アラート ユーザが自由に作成 編集可能な高度なポリシー ポリシーに合致したログのアラート 相関分析を用いた動的かつ高度なポリシーの作成 メール または外部コマンドの実行 高度な連携 脅威DBとの連携機能提供 提供元との別途ご契約が必要 receive web GUI indexer API sensor アラート メール コマンド 実行 検索 高度なGUI ログの検索 容易かつ高度な検知ポリシー作成 編集 ダッシュボードを用いた同時監視 リアルタイムモニタ 17

18 Logstorage クラウド対応ラインナップ Logstorageはマルチ ハイブリッドクラウド対応を進めています Logstorage for AWS/ Logstorage 連携パック for AWS Logstorage Azure 連携パック アクティビティログ 仮想マシン ストレージ ネットワークセキュリティグループに対応 Logstorage クラウド向けログ収集モジュール box 監査ログ Office365 監査ログに対応 Logstorageはパブリッククラウドサービスへの取り組みを通じて 来るマルチ ハ イブリッドクラウドへの対応を進めています 18

19 ログから始める サイバーセキュリティとクラウド運用 1. ログ管理とは 2. Logstorageラインナップ紹介 3. 効率的なクラウドセキュリティ インフラ運用 4. ログ管理による効率的なサイバー攻撃検出の考え方 5. 事例ご紹介 19

20 パブリッククラウドの共有責任モデル パブリッククラウドを利用する上でのユーザが負担すべき責任 AWS EC2サービスの共有責任モデル ユーザが 管理 AWSが 管理 ユーザのデータ アプリケーション セキュリティグループ OS アカウント管理 ファシリティ 物理セキュリティ 物理インフラ ネットワークインフラ Azure IaaSサービスの共有責任モデル 責任の所在 利用者 提供者 データの分類と管理 クライアントの保護 IDとアクセスの管理 アプリケーション管理 ネットワーク管理 ホストのインフラ 物理セキュリティ パブリッククラウドのセキュリティはユーザも責任を負う必要がある 各種法令 ガイドラインへの準拠の際にも注意が必要 20

21 パブリッククラウドログの管理 パブリッククラウドのログを管理する目的とは 考え方は通常のシステムと同じだが コンプライアンス 脅威対策 システム運用 ログ管理を始めるタイミングがカギとなる 一般的な システム構築 設計 パブリック クラウド構築 設計 構築 試験 運用 ログ管理 構築 試験 運用 ログ管理 一般的なシステム構築では運用開始とともにログ管理を行うケースが大半だが パブリッククラウド構 築はより早い段階からログ管理を考慮に入れて検討を行うことが望ましい クラウドファースト ログファースト 21

22 クラウドファースト ログファースト パブリッククラウドのログ管理は 構築前 から オンプレミスでの作業 パブリッククラウドでの作業 H/W調達 実機を購入 API/Webでインスタンス作成 データセンター設置 データセンター搬入 同上 ネットワーク接続 設定 ケーブル結線 ルーター設定の操作 API/Webで設定 ファイアウォール設置 設定 ファイアウォール設定の操作 同上 パブリッククラウドシステムの構築はWebGUIやAPIで操作が行われるため 作業 操作内容が 把握しづらい 構築時のログを残しておくことで 障害 セキュリティ事象に際して 環境の再現を容易に行 うことが出来る パブリッククラウド上のH/Wの構築状況や操作 設定内容を把握するには 構築 が始まる 前 からログを収集し 構築状況を 可視化 する必要がある 22

23 ログや性能からコストを検討 性能やログからEC2インスタンスのコストを考える とある業務システム用のEC2インスタンスのCPU使用率とログ量を集計してグラフ化 ログ行数 Amazon EC2 CPU使用率 % % 0 0% ログ行数からわかること CPU使用率からわかること AM8時 20時まではユーザが利用しているた め ログが出力されているが 21時 翌7時 まではあまり利用されていない ユーザ利用に伴ってCPU使用率が増加するが 最大でも50%に達しない このEC2インスタンスを効率よく使うにはどうすればよいか 23

24 ログに依るコスト改善 リソースに余裕があるEC2インスタンスの改善 原則としてEC2インスタンスを停止させられない場合 CPUの利用率が最大でも50%を超えないため より安価なインスタンスタイプへの変更を検討 AWSやAzureの仮想ホストはあくまで利用時間に対する課金で CPU使用率は費用に反映されない ただし 長期的に性能やログの出力状態を把握していないと 時期によって利用が活発化した際に対応できな くなる 夜間など 一定期間EC2インスタンスを停止させて良い場合 awsのapi等を利用し 利用時間のみEC2インスタンスを起動 時間外になったら自動的に停止させる 不要なEC2インスタンスを停止させ 利用料金を抑制する インスタンスタイプの変更も合わせて実施しても良い 運用当初からログや性能情報をしっかりと把握し 長期的な傾向も踏ま えて最適化を行う必要がある 24

25 ハイブリッドクラウドにおける課題(1) 標的型攻撃対策の必要性 標的型攻撃は侵入場所を問わない 標的型攻撃はオンプレミス パブリッククラウドを問わず どの環境からも侵入され 相互に侵害 が発生する可能性があります 想定される攻撃例 標的型メール攻撃でPCがマルウェア感染 EC2インスタンスへのマルウェア感染 DDoS踏み台化 RDSからの重要情報漏えい boxからのファイル漏えい 削除 標的型攻撃を境界で防ぐことが難しくなっている上に ハイブリッドクラウド環境はシステム構成 が複雑化する傾向にあります そのような環境下でいかに侵入をいち早く検出し 被害を押さえ込むことが重要なポイントです 25

26 ハイブリッドクラウドにおける課題(2) システムは複雑化しても監査 管理は必要 各種パブリッククラウドサービスのログ取得の実装 ログ内容はサービス毎に異なります ログ取得処理を自ら開発 運用したり フォーマット 意味付けの異なるログをレビューしていて は 運用コストの増大を招きかねません オンプレミス 運用担当者 Amazon EC2 AWS CloudTrail 26

27 ハイブリッドクラウド監視の解決策 ハイブリッドクラウドを統合管理することで効率的に管理する ハイブリッドクラウドの複雑な構成をLogstorageを用いて効率的にセキュリティ対 策を行うことが可能です 各環境からのログ収集 フォーマット 整形 分析はLogstorageが実施 運用担当者はLogstoageで横断的 にログやイベントの確認が可能 オンプレミス Logstorage クラウド連携ラインナップで 様々なパブリッククラウドのログ を容易に収集 管理 監査することが可能です 27

28 ログから始める サイバーセキュリティとクラウド運用 1. ログ管理とは 2. Logstorageラインナップ紹介 3. 効率的なクラウドセキュリティ インフラ運用 4. ログ管理による効率的なサイバー攻撃検出の考え方 5. 事例ご紹介 28

29 サイバーセキュリティとログ管理 セキュリティ対策としての統合ログ管理 ガイドライン等に基づいたルール 各業界 団体向けに発行されているガイドラインに則ってログ管理要件を検 討し 実装する 要件 ルールにマッチしないログを検出し 是正または調査する 具体的な脅威を想定した取り組み 攻撃シナリオからログ管理要件を検討し 実装する 要件にマッチした 攻撃が疑われるログを検出し 調査を行う 29

30 どのログを管理し 調査すべきか ログ管理 の考え方 システムに存在する全てのログを管理 保 存 することは 標的型攻撃や内部情報漏え いに対して 事後の調査を行う観点では極め て重要 Logstorageでは高度なログ圧縮機能を提供し ており 全ログの長期保管に耐えうる どのログを調査するか 一方 平時にシステム内の全ログを調査する ことは不可能ではないが現実的ではな い 平時にどのシステムのどのログを調査するか というのがポイントとなる 調査対象の考え方の例 どのログを調査するのか 攻撃者の目標とはなにか システムの重要なポイントは 重要ポイントのログを管理 調査 30

31 サイバーキルチェーンからの取り組み サイバーキルチェーン 高度な標的型攻撃の流れを表すフロー このフローの過程を検出し断ち切ることで 標的型攻撃を防止することが重要 偵察 武器化 配送 対象組織調査 マルウェア作成 送付 設置 拡大 侵入/ 調査 目的 遂行 攻撃基盤構築 内部侵入と探索 情報の窃取 感染 マルウェア実行 フロー 想定される具体的なアクション 偵察 対象組織で公開されている情報 Webサイト SNS メール等 から侵入ポイントを偵察 武器化 対象組織に適したマルウェアの開発 配送 メールやWebサイト 脆弱性攻撃等によるマルウェアの配送 感染 対象組織の内部へのマルウェアの感染と実行 拡大 組織内のPC サーバへの感染の拡大と攻撃基盤の構築 侵入/調査 目的を遂行するための探索 重要サーバ ADドメインコントローラ等 への侵入 目的遂行 情報の窃取やシステム破壊等の目的の遂行と 痕跡の削除 31

32 従来の出入口対策のポイント 従来のシグネチャ型によるアンチウイルスソフトの対策ポイントは主に 配送 感染 に対する対応だった 従来の対策ポイント 偵察 武器化 配送 対象組織調査 マルウェア作成 送付 設置 感染 マルウェア実行 拡大 侵入/ 調査 目的 遂行 攻撃基盤構築 内部侵入と探索 情報の窃取 シグネチャ型のアンチウイルスソフトによる侵入対策には限界が来ている マルウェアの巧妙化による検出率の低下 攻撃対象に高度にカスタマイズされたマルウェアの登場 システムへの侵入を出入口で防止するのではなく 侵入される ことを前提とした対策へシフト ログ管理等で侵入を検出し いち早く対策することで 被害の拡大を押さえ込むことが重要 32

33 偵察の検出は可能か 攻撃の痕跡を早期に検出することが望ましいのは事実だが 現実的か 偵察 武器化 配送 対象組織調査 マルウェア作成 送付 設置 感染 マルウェア実行 拡大 侵入/ 調査 目的 遂行 攻撃基盤構築 内部侵入と探索 情報の窃取 外部に公開されているサービスへのアクセスログを調査することは不可能ではないが 調査対象と なるログ量が膨大になる可能性が高い メールログやWebサーバのアクセスログ等が対象となるが 複数のログを関連付けて調査を行う必 要がある SIEMによる分析が効果をもたらす可能性があるが SIEMをそれなりに使いこなせるスキルがない と 偵察段階での脅威を発見するのは難しいことが予想される 偵察段階のログの調査にコストを掛けることができるだろうか 33

34 標的のログを管理することから始める 攻撃対象のログの管理 調査から始める 偵察 武器化 配送 対象組織調査 マルウェア作成 送付 設置 感染 マルウェア実行 拡大 侵入/ 調査 目的 遂行 攻撃基盤構築 内部侵入と探索 情報の窃取 攻撃の対象へのアクセスログを管理 攻撃者が目標とするポイント 目的遂行 へのアクセスログの管理 調査が効果的 情報系システム 個人情報や営業秘密が保存されているファイルサーバのアクセスログ 制御系システム 制御機器へのアクセスログ 攻撃対象のアクセスログを管理するのはなぜか 標的型攻撃による不正なアクセスログを発見した時点で 攻撃者の意図は一定のレベルで達成されてしまうケー スも多いが 被害の規模 範囲をより正確にお客様に伝える より大きな被害の拡大を防止する 類型の被害を予防する という点で 攻撃者の目標に対するアクセスログをきちんと保持しておくことがポイント 34

35 重要な目標へのアクセスを監視する 一つ手前のフローを把握し ログを管理 調査する 偵察 武器化 配送 対象組織調査 マルウェア作成 送付 設置 感染 マルウェア実行 拡大 侵入/ 調査 目的 遂行 攻撃基盤構築 内部侵入と探索 情報の窃取 攻撃基盤や調査のためのシステムのログを管理する 侵入者は攻撃目標へのアクセスを確保するため 攻撃基盤を対象システム内に構築することが予想される そのため AD ドメインコントローラー 管理者のPC 等のログを管理 調査することで 攻撃基盤の構築の予兆を捉え 攻撃目標へのアクセスを防ぐことが重要 不正アクセスの予兆となる AD ドメインコントローラーや管理者PCへのログインログは 各種ガイ ドラインでも保存が推奨されている重要なログとなります これらのログを効率よく管理出来る Logstorage ラインナップをご紹介します 35

36 Windows ファイルサーバのログ管理 Windows ファイルサーバのログ管理の課題 対応システム Windowsやファイルサーバのログは フォーマットが複雑で読みづらい Windows 1回のファイルアクセスで複数のイベントが出力さ れることがある NetApp という問題があり 管理 調査のためには 解析処理 が重要となります VMWare emc 課題を解決するLogstorage ラインナップ Logstorage オプションの ELC オールインワンパッケージの ELC Analytics これらをご利用頂くことで Windows ファイルサー バのアクセスログを読みやすく 調査しやすい形式に することが可能です Logstorage でELCをご利用頂く場合は スタンダード版以上の エディションをご購入頂く必要があります ログ解析 調査に適した形式に変換 日時 PC アクション ドメイン ユーザ パス ファイル名 結果 :00:00 FS01 ファイル読 み込み infoscien ce yamada D: commo n 顧客リスト.xls 成功 36

37 ログから始める サイバーセキュリティとクラウド運用 1. ログ管理とは 2. Logstorageラインナップ紹介 3. 効率的なクラウドセキュリティ インフラ運用 4. ログ管理による効率的なサイバー攻撃検出の考え方 5. 事例ご紹介 37

38 [事例1] AWS上でのルール準拠 Logstorage導入目的 各種セキュリティ認証の取得 (PCI DSS / ISO27001) SOC2 への取り組み 上記への対応を通じ セキュリティへの取り 組みについて客観的な評価に基づく透明性の 確保 高度なセキュリティ体制の実現 社内インフラVPC 東品川 データセンター 認証サーバ Logstorage Customer gateway その他 管理サーバ Direct Connect (専用線接続) ルータ VPN装置 踏み台 サーバ ログ収集対象 ルータ 踏み台サーバ スイッチ NATインスタンス 認証サーバ セキュリティ端末 その他 セキュリティ管理サーバ 閉塞網 Internet 東京拠点 ルータ 全顧客の AWS CloudTrail ログ セキュリティ ネットワーク 全顧客の AWS Config ログ セキュリティ端末 Logstorage導入環境 38

39 [事例1] cloudpack様 コメント cloudpack アイレット株式会社 様から頂いたコメント PCI DSS認証 Logstorageは PCI DSSで求められるログの暗号化と改ざん検出に標準機能で対応しており 別の製品と組み合わせる必要なく対応できた 結果 PCI DSS認証取得において ログに関する指摘事項は無かった SOC 2報告書 Logstorageを利用したログの一元管理はSOC2対応でも踏襲した AWSを対象としたフルマ ネージドサービス事業で 国内で初めてSOC 2報告書を受領した その他 LogstorageはAMIでも提供されるため インストールには殆ど手間が掛からなかった 多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対応は 助かった 39

40 [事例2] 複数アカウントログの統合管理 複数のAWSアカウントのCloudTrail/Configログを統合管理 ハンズラボ株式会社様 導入目的 内部統制 PCIDSS対応 エンジニア全員がAWSを利用し ており AWS上の作業の監視 AWS上のログデータの統合的な 管理 ログの集中管理を行うことで 有事の際の迅速な対応 複数のユーザアカウント AWS CloudTrail 統合管理用アカウント AWS Config 集約されたログを 一括で検索 確認 頂いたコメント 抜粋 複数アカウントのログを集中管理でき 調べたい情報 検索結果 を得るスピードが格段に向上しました Logstorage for AWS に含まれる有用なテンプレートも使用していますが 任意の検索条件を容易に作成するこ ともできるので 目的に応じ活用しています 40

41 [事例3] ハイブリッド運用 AWSから一般ユーザ向けに Webサービスを展開 事業者データセンター SecureCube AccessCheck でデータセンタ機器と AWS EC2への事前承認のないアクセスを排除 WebAPサーバ SecureCube AccessCheckの ログも収集し 機器 EC2の ログと突合する AccessCheckを経由しない 違反アクセスを監査 社内ルーター router LogGate ログ収集サーバ Amazon RDS ELB 凡 例 Webサービスの経路 ログデータの経路 Logstorage検索処理 オンプレミス AWSの双方にSecureCube AccessCheckを用いて特 権ID管理を実施 ハイブリッドクラウドでの不正アクセス監査 を実現 LogGate ログ収集サーバ Console 管理 GUIサーバ ログデータ自体はデータセンターとEC2でそれぞれ別個に保存 し 検索結果だけをAWSから取得させることで AWSからの転 送コストを低減 41

42 Logstorage 関連資料 URL: - Logstorage ご紹介資料 - Logstorage for AWS ご紹介資料 その他 ログ活用資料掲載中 お問い合わせ先 開発元 インフォサイエンス株式会社 プロダクト事業部 TEL FAX mail : info@logstorage.com 42

43 RPAとログの利活用について ご相談をお受けします RPA Robotic Process Automation による業務効率の改善や働き方改革が進んでいますが こんなお 悩みをお持ちではないでしょうか RPAが出力するログを管理したい RPAを導入したが RPAによる操作が意図したものかどうかを把握出来ているだろうか RPAで重要度の高い情報を処理しているが 意図しないアクセスが発生していないか その他 RPAとログについて 弊社でご相談をお受けします ぜひお問い合わせ下さい お問い合わせ先 インフォサイエンス株式会社 プロダクト事業部 TEL FAX mail : info@logstorage.com 43

44 ご清聴ありがとうございました お手数ですが お手元のアンケート記入にご協力お願いいたします ログから始める! サイバーセキュリティとクラウド運用 2018/02/07 インフォサイエンス株式会社プロダクト事業部サイバー セキュリティ コンサルティング チーム安達賢一郎 44