セキュリティインシデント発生時の迅速な事後対応には、早急な調査と原因分析が求められます。
証跡となる複数機器のログを集約・保管し、分析可能とする「統合ログ管理」について解説します。
統合ログ管理とは
統合ログ管理は、複数の機器のログを一元的に収集し、長期保管を行い、また収集したログを分析することです。
機器の枠を超えて、発生したセキュリティインシデントを横断的に追跡できるため、統合ログ管理は影響範囲の特定、原因究明、対策立案を支援します。
統合ログ管理の必要性
一般的に、情報漏えい事故の発生原因の8割は、内部の人間による誤操作や情報の持ち出しであると言われています。
したがって情報セキュリティを考える上では、外部攻撃を防御することも重要ですが、内部の人間の行動を管理することも重要です。
統合ログ管理で機器の操作履歴を可視化して公開することで、内部の人間一人ひとりに「自分の行いは監督されている」という意識を持たせることができ、軽率な操作や不正の抑止へとつながります。
また統合ログ管理は、実際に情報漏えい事故が発生した場合においても有効です。
情報漏えいの範囲と原因を速やかに特定することで、早急に対策と再発防止に向け動くことができるためです。
特に2022年に施行される改正個人情報保護法では、個人情報漏えい時、本人への通知および個人情報保護委員会への報告が義務化されるため、注意が必要です。
統合ログ管理とSIEMの違い
統合ログ管理と近い領域のソリューションとしてSIEM(Security Information and Event Manager)があります。
SIEMは、セキュリティ機器を中心とするログをリアルタイムに収集して分析する事で、外部からの侵入やマルウェアの感染、機密情報の流出といったセキュリティに関するイベントを管理者に知らせる仕組みの事です。
下記は、統合ログ管理とSIEMの一般的な特徴を比較した表です。
| 統合ログ管理 | SIEM | |
|---|---|---|
| 目的 | ログの保管 | イベントの発見と通知 |
| リアルタイム性 | 低い | 高い |
| ログの保管期間 | 長期 | 短期 |
| 価格体系 | 固定(ライセンス型) | 変動(データ流量) |
| 他に必要となる投資 | ログ収集保管用サーバー | 高速なネットワーク イベント監視要員 |
統合ログ管理とSIEMは目的が異なるため、統合ログ管理とSIEMの両方の仕組みが揃っている事が一番望ましいと考えます。
統合ログ管理の導入効果
最も有効な導入効果は、複数の機器のログ情報を通して有事の際にユーザーの行動を追える事です。
機器毎のログでは問題の無い記録も、複数機器のログ情報をつなげることで、セキュリティインシデントの可能性を把握できる可能性があります。
さらに、「マスタ連携機能」を搭載した統合ログ管理製品では、機器のログに含まれない情報(ユーザー情報など)を付加することが可能です。
付加情報を含むことでログが理解しやすくなり、人の動きをより追いやすくなります。
「マスター連携機能」を搭載した、スモールスタートで始められるログ管理ソリューション
Logstorage(ログストレージ)は、400種類以上の機器やソフトウエアに対応した統合ログ管理ソリューション。
時間経過と共に失われるMicrosoft 365 のログを管理可能。
Microsoft 365 のログの活用は、統合ログ管理の実現に向けた「最小で効果的な」第一歩となる。