企業情報システムが吐き出すログをリポジトリに蓄積して健康状態を把握しておき,いざ問題が起こった時に異常な振る舞いをログから検知できるようにするソフトが,オーストラリアTier-3が開発したHUNTSMANである。2006年11月10日,同社CEO(最高経営責任者)であるPeter Woollacott氏の来日に合わせ,ログ・データの解析手続きを踏まえた実際のHUNTSMANの運用イメージを聞いた。
---ログの蓄積とトレンド分析はどのくらい有効なものなのか。まずはHUNTSMANを利用している企業の運用の実態を教えて欲しい。運用は,基本的に自動化されている。全体像を簡単に言えば,情報システムのベース・ラインを認識させておき,ベース・ラインから外れた挙動を発見することを目的としている。これにより,システム監視のために複数の管理者を貼り付けておく必要がなくなる。HUNTSMANが情報システムの異常を発見することで,システム管理者の人数を削減できるというわけだ。
監視対象は,情報システムが吐き出す様々なログ。生データのままリポジトリに保存するのに加え,ログごとに着目すべきポイントを抽出してデータベースを作成する。あるログのあるイベント項目と,別のログのあるイベント項目との相関関係のトレンドを認識できるようにするためだ。トレンドから外れた異常な振る舞いを検出すると,システム管理者に報告する。どういったイベント項目の何が異常なのかを把握できるようになる。
問題点をドリルダウンして解析するための管理GUIアプリケーションを用意している。システム管理者チーム向けのグループウエア機能もあり,異常と見なされた案件であるインシデントに対してどういう手順で対処したのかを記録として残すことができ,定時レポートに履歴を含めることが可能だ。また,システム管理者が手動で対処する以外にも,システムのシャットダウンなど,あらかじめ決めておいたルールに基づいてアクションを自動実行させることもできる。
---トレンド分析のためのベース・ラインは,日々のログを収集し続けたり,システム管理者の日常的な判断を反映したりするなど,ツールを使いながら成長させていくのか。情報システムを使い続けることでトレンド分析のためのベース・ラインは動的に変化する。もちろん導入した直後はトレンドが分かっていないので,1週間など,ある程度のログ収集期間は必要になる。ログの中のどの部分に着目するのか,どういうルールで相関を見るのかといったノウハウは,OSやファイアウォール機器,データベース・ソフト,業務アプリケーション・パッケージなど,あらかじめ121種類のログの読み方をHUNTSMANが知識として持っている。新たなログであっても,ログのどの部分を監視するのかを定義することが可能だ。
シグネチャ・ベースで対処可能な既知の脅威は,他社製の製品,例えばIDS(侵入検知システム)やウイルス対策ソフトで対処すればよい。HUNTSMANはこうした知識ベースの製品を補完しつつ,ゼロ・デイ・アタックや社内の不正アクセスなど,本当に重要な脅威を発見することに注力している。トレンドから外れた振る舞いをシステム管理者に知らせて,いち早く解析の糸口を管理者に突きつけることは,極めて重要だと考えている。
---販売戦略について教えて欲しい。ソフトウエアの形態でのライセンス販売だけにとどまるのか。オーストラリアではHUNTSMANをASP(アプリケーション・サービス・プロバイダ)形式で提供しているサービス事業者の例がある。ソフトウエアのライセンス販売が主体だが,こうしたASPサービス事業者向けのライセンスも用意している。日本国内でもサービス提供事業者となるベンダーと交渉している最中だ。ハードウエア・ベンダーからはアプライアンス化の提案も受けており,検討している。
