何が起きていたのかが分からなければ、対処もできない
外部からの攻撃で個人情報が流出してしまったが、範囲がどこまで及んでいるか分からないので、対外発表もままならない――。
万全の対策を講じているつもりでも被害の発生を100%防ぐのは難しいのがサイバーセキュリティの世界。セキュリティ対策を考える際には、防御や抑止といった予防策だけでなく、万が一のときに「何が起きたのか」を把握、追跡するための仕組みを準備しておくことも重要だ。というのも、何が起きたのかを把握できない限り、企業としては考えうる最悪の想定に基づいた対外発表をするしかない。その結果、対処に本来不要な費用が発生したり、企業の信用度が過度に低下したり、といったことも起きかねない。
情報漏洩をはじめとするセキュリティインシデントの発生前後で何が起きたのか。それを突き止めるためにまず実施しておきたいのが、情報システム内のログ(記録)を収集・保管・可視化・分析する「ログ管理」という作業だ。
サーバーや各種ネットワーク機器の大半にはログ出力機能が標準で装備されているが、フォーマットが統一されておらず、大量に出力されるログから分析を行うハードルは高い。
また、せっかく集めたログをためておくだけで活用していない企業も多いのではないだろうか。何らかのセキュリティインシデントが発生したときのため、というのも1つの活用法だが、実はログ情報はインシデント自体の予防にも役立つ。明らかに普段と異なる動きを異常として早めにキャッチできれば、対策も早期に立てることができるからだ。
そこで注目したいのが、「統合ログ管理システム」だ。
●大量のログを管理したい
●複数のサーバー、機器だけでなく、クラウドのログを含めて一元的に統合管理したい
●高度な分析を自動化したい
●分析結果を見やすく表示したい
といった課題も、統合ログ管理システムならば解決できる。しかし、実は統合ログ管理システムの運用を成功へ導くためには、構築時に必ず押さえておきたいポイントがいくつかある。