Comments
Description
Transcript
クラウドトレーサビリティ(CBoC TRX)
クラウドの可視化 社会基盤を支えるクラウドコンピューティング基盤技術 クラウド・フォレンジクス ログ連結 特 集 クラウドトレーサビリティ(CBoC TRX) なかはら クラウドサービスの経過や運用が見えないことによる利用者の不安や懸念 しんいち ふ じ き な お と 中原 慎一 /藤木 直人 を払拭するため,一連の流れを可視化するクラウド・フォレンジクスサービ うしじま スと,それを実現するトレーサビリティ基盤を紹介します.本基盤は,さま 牛島 重彦 しげひこ ざまな機能を追加,差し替えできるアーキテクチャにより,証跡能力を持つ NTT情報流通プラットフォーム研究所 複数種類の大量ログを保管・連結して事実を可視化します. ユーザに情報として提供することが重 クラウドの可視化 (2),(3) 要となります クラウドサービスは,その運用状況 やサービス実施の実態がどこにあるか . トレーサビリティ基盤は,クラウド 上に分散するさまざまな「人の操作」 クラウド・フォレンジクス クラウドサービスおよびクラウドシス テムに「いつ・どこで・誰が(何が)・ 分からないという不可視性の特徴から, 「ファイルの移動」「プロセス動作」に 何を・どのように・どうなった」という 多くの新規ユーザに対して,セキュリ 関連した各種ログ情報と,認証基盤や ことが分かるように説明能力を持たせ, ティ面および運用面で導入障壁となっ 装置管理システムなどの連携システム その利用者や運用者に安心してサービ の情報から,一連の流れを分かりやす スを享受・提供していただくことを目 クラウドサービスで何が起こっているの く再現し表示することによりその懸念 的とした付加価値サービスがクラウド・ か,誰が何を行ったのかということを を払拭します. フォレンジクスサービスです(図1). (1) ているといわれています .そのため, クラウド・フォレンジクス 1つひとつのログをつなげ,事実を証跡化 利 サ 用者 ー ビ デー ス 状 タの 況 の 可視 可 視 化 化 ユーザ データ状態 データ流通 共有アクセス 操作 ログ 認証 ログ 仮想マシン特権 ログ 連結 連結 結果 ログ 連結 連結 ログ 連結 データ ログ 連結 ログ 命令 ログ 者 アクセス 連結 運用 連結 連結 ログ 顧客 ログ 者と 連結 連結 セキュリティ 利用 作 事 実 ログ ログ 登録 ログ サービス データ パッチ の操 加入 登録 サービス 追加 トレーサビリティ基盤 認証ポータル 顧客基盤 利用者向けサーバ サ の ービ 迅 速 ス状 オフィスサービス な 把 況 バックオフィス 握 クラウド基盤・情報連携基盤・医療基盤… ネットワーク 利用者 監査者 運用者 運用ルート 利用者(端末) 利用ルート 図1 クラウド・フォレンジクス NTT技術ジャーナル 2011.10 31 社会基盤を支えるクラウドコンピューティング基盤技術 具体的には,クラウド上で発生した事 (Who) 」 「何を(What) 」 「どのように される膨大なログを収集,正規化でき 実の証跡(ログ)を保管し,利用者や (How) 」 「どうなった(Result) 」の4 るログトレース部,ログの安全性を担 運用者の目的に応じてログを連結して W1H1Rというかたちで証拠能力のあ 保するログセキュリティ部,ログの連 事実を可視化・証明するサービスです. る情報として保管する必要があります. 結やトレースを可能とするためのログ 例えば,利用者のファイルのライフサ イクル(生成・編集・移動・削除) を確認したり(利用者の視点),ある プロビジョニングを行うログ運用管理 トレーサビリティ基盤の 部からなります(図2). アーキテクチャ ログトレース部では,大量のログ入 ユーザの環境設定にかかわったオペ 私たちはクラウド・フォレンジクス 力を処理し,正規化(ログメッセージ レータが誰でどのような操作を行った を実現するために,クラウド内で発生 の4W1H1Rへのマッピング)を行い かを確認したり(運用者の視点),シ するログを収集・蓄積・連結・閲覧を 蓄積します.ログの蓄積にあたっては, ステム運用が規則どおりに実行されて 行うクラウドトレーサビリティ〔CBoC 膨大なログを蓄積するためにCBoCタ いるかどうかの確認(監査者の視点) ( Common IT Bases over Cloud イプ2やHadoop *などの大規模分散 Computing)TRX〕を開発していま 処理基盤と連携可能としてストレージ を可能とします. そのために,発生した事実を「いつ す.そのアーキテクチャは,主に大量 (When)」「どこで(Where)」「誰が のサーバ・アクセスポイントから出力 * Hadoop:大規模データの分散処理を支える Javaのソフトウェアフレームワーク. 仮想サーバ群 閲覧者(利用者, 運用者,監査者) クラウド基盤・他基盤 運用者 ログ生成 ログ収集インタフェース 表示系GUI ①ログトレース部 トレーサビリティ 基盤 共通蓄積 インタ フェース ログ収集 ログ正規化 アダプタ トレース表示 共通読出 インタ ログ連結・意味付け フェース アダプタ ②ログセ キュリティ部 ③ログ運用 管理部 開示制御 ログ・解 析ルール 設定 情報保護・ 秘匿 大規模分散処理基盤・RDB(Relational Database) 正規化ログ 正規化ログ … 正規化ログ 図2 トレーサビリティ基盤アーキテクチャ 32 NTT技術ジャーナル 2011.10 運用系GUI ログ運用 特 集 Aさんのファイル履歴 出力画面イメージ(可視化) 利用者 データ履歴 参照 操作 Cさん 企業A 操作の履歴表示 移動の履歴表示 Aさん 企業A Bさん 企業A Aさん仮想環境 Bさん仮想環境 Cさん仮想環境 新規作成 ファイル生成 (新規・コピー) ネットワーク データトレース サービス 移動 (配布) フォルダ#1 ファイル A 編集 内容変更 フォルダ#1 ファイル **** フォルダ#1 ファイル A' ファイル 仮想 デスクトップ 移動 (外部) 仮想 デスクトップ クラウド 仮想サーバ群 削除 フォルダ#2 削除 削除 トレーサビリティ基盤 フォルダ#1 ファイル名変更 フォルダ間移動 移動 移動 (外部) ファイル A' 時 間 経 過 t フォルダ#1 ファイル *** ファイル **** フォルダ名変更 フォルダ#20 削除 ファイル *** 削除 削除 履歴ログ 図3 データトレースイメージ やデータ処理のスケーラビリティを確 保しています. 本基盤の特徴 特に大規模分散処理基盤との連携 トレーサビリティ基盤は,ログセキュ については,個別の基盤に依存しない リティ,スケーラビリティ,ログの正 ようにその利用側プログラムに対して 規化,ログの基盤への組込みの容易化 共通のアクセスインタフェース(蓄積 という点で以下の特徴を持ちます. および読出)を決めて,そのインタ ■ログセキュリティ フェースを持つアダプタを介してアクセ スすることとしています.ログトレース 部や,ログセキュリティ部は,その機能 (1) ログの証拠性担保 ログの証拠能力を上げるため,以下 の3つを実施しています. でログの非改ざんを担保 ③ 入力ログを正規化・補完して 事実を再現する十分な情報を 保持 (2) ログ,トレース情報の漏洩防止 クラウドの懸念点である,他ユーザ やクラウド運用者への情報漏洩懸念を 払拭するため保管したログの暗号化・ 改ざんの検知を可能とします.また, 閲覧者の権限に応じたログ情報の開示 ブロック間でアクセスインタフェースの ① NTPと連携してWindows端 制御を行い,ユーザ名などプライバシ 統一を行い,起動・動作単位の独立 末操作ログの時刻精度を向上 情報の本人以外への非表示(秘匿) 化を図ることで部品として再利用可能 ② 入力ログ(一次ログ)への なアーキテクチャとしています. を行います. ファイル単位の改ざん検知機能 NTT技術ジャーナル 2011.10 33 社会基盤を支えるクラウドコンピューティング基盤技術 運用センタ 装置構成 情報 管理者 トレース データベース 運用者A クラウド 仮想環境 管理者・利用者のオペレーションの可視化 ①リソース 割当て 仮想サーバ群 日時 利用者 HGW・OGW Aさん 企業B ③利用者 環境設定 ④認証 設定 運用者A操作 運用者B ネットワーク ②端末 登録 ⑤ユーザ 利用 利用者操作 作業・イベント ユーザ名 操作対象 2011.1.31 11:8:25 Windowsログイン 2011.1.31 11:9:30 APLテスト(起動) User#1 User#1 ⑥利用 停止 ⑦データ 消去 運用者B操作 内容 結果 Host_#1 Host_#1 TOP-3 Windows_Vista OK APL Host_#1 IE7 yahoo.co.jp ─ 2011.1.31 11:15:47 メール起動 User#1 SMTP-1 2011.1.31 12:18:30 APLテスト User#1 APL from 192. 168. 100. 15 to 192.168.254.254 FS-5 fput hoge.txt /share/test/hoge.txt 2011.1.31 14:20:59 FSアクセス User#1 APL /share/test/hoge.txt ファイル生成 OK User#1 Host_#1 Host_#1 User#1 Windows_Vista OK HGW・OGW OK OK ⋮ 2011.1.31 16:20:20 ログアウト Bさん 企業B ⋮ HGW:ホームゲートウェイ OGW:オフィスゲートウェイ 図4 オペレーショントレースイメージ ■スケーラビリティ ピングを行います(正規化処理) . の情報として再利用することができ ます. クラウドサービスをターゲットとして このときトレースに必要な情報が不 大量ログを処理するため,ログの収集 足していれば,ほかのログデータやあら 処理はFlume(OSS)を利用して多 かじめ定めた外部情報を参照して入手 地点からの収集を実現,蓄積・検索処 し補完します.このログの正規化によ 新たにログをトレーサビリティ基盤 理はCBoCタイプ2やMap/Reduce, り,次のような効果をもたらすことが に追加する場合,正規化して追加する HDFS( Hadoop Distributed File できます. ことで,すでに基盤に蓄積したログ要 System)などと連動してログデータ 処理の並列処理やログデータ保管領域 のスケーラビリティを実現します. ■ログの正規化 入力されたログデータ(通常は電文 (1) 多様なトレースニーズに対応す るためのログ連結が可能 (2) ログの追加によるトレース範囲 の拡張が可能 素と同じ意味を持つものであることや, ログのつながり方を定義できるため,新 ログメッセージの個々の要素の意味 たな期間のログや新たなサービス・機 を明確に定義することで,1つのログ 能の情報を加えて時間的,空間的な メッセージを複数目的のトレース要求 トレース範囲の拡張が可能となります. として入力されるので,ログメッセー にマッピングして利用可能となります. ジと呼びます)を要素に分解し,個々 これにより,従来限られた目的で出力 インターネット検索などで利用され の要素に対して4W1H1Rへのマッ していたログを,事実を再現するため ているKVS(Key-Value Store)方 34 NTT技術ジャーナル 2011.10 (3) KVSへの適応が容易 特 集 式のデータストアに4W1H1Rの要 ■オペレーショントレース 説明責任を果たし,運用の効率化へ 素をKey情報として活用することで, データトレースと同様に端末操作ロ の貢献も視野に入れて,異なるサービ 例えばユーザ名やファイル名をKeyと グ(4W1H1R)を収集しますが, スで使われる同一人物のIDを解決した した高速検索を実現します. 利用者だけでなく運用者についても集 ログ連結や,サービス構成や装置構成 ■ログの基盤への組込みの容易化 約し連結することで,利用者と運用者 を意識したログの連結などの強化を行 の操作を関連付けることができます います. ログ運用管理部では,フォーマットが 既知である任意のログをトレーサビリ (図4) . ティ基盤で扱えるように,入力ログの 通常,利用者のログと運用者のログ 構文解析定義やログ要素の4W1H1R は連結できませんが,例えば同じ仮想 属 性 へのマッピングルールをG U I 装置名やコンピュータに関する操作の ( Graphical User Interface) で 生 ログとして認識できる連結情報を新た 成可能とし,新規ログの基盤への組込 に追加することで一連の操作として認 みを容易にしています. 識できます. トレースサービスイメージ ■データトレース 管理者は,クラウドの利用者の環境 に対して,異なる運用者設定操作で あっても,個々の運用者の複数ログを 利用者が端末上で操作したログを 連結し一連の流れとして確認できます 4W1H1RのかたちでCBoC TRXで集 し,あるサービスが複数のサービス・ 約し管理することでユーザがどのファ サーバから構成されるシステムであって イル(データ)にどの操作を行ったか も,そのログを共通する情報を持つデー を把握します(図3).これによりあ タを介することで,人やサービス・シ るファイルに対して「いつ」「誰が」, ステムをまたがる操作を連結して迅速 生成・修正・複写・移動・削除の操 に把握することができます. 作を実施したかを再現します. 利用者は,クラウド事業者に預けた データであっても,ファイルの生成・ (左から)牛島 重彦/ 中原 慎一/ 今後の取り組み ■セキュリティの強化 削除や他者への移動を一連の履歴とし CBoC TRXではログの証拠能力付 て目視確認でき,ファイルの由来や流 与と情報漏洩への対処という観点から 出,消し忘れを容易に確認できます. セキュリティ機能を実現しましたが, 他者に渡ったファイルについては原則, 今後は公的情報の利用やプライバシ保 ファイル名など個人情報となるものは 護の観点から,長期署名や個人情報 伏字にするなどして履歴は表示します 保護技術適用などの強化を行います. が,具体的内容は非表示にすることも ■ログ利用の活性 可能です. ■参考文献 (1) 経済産業省:“クラウドサービスの情報セ キュリティ監査に関するアンケート調査報告 書,”2010.1. (2) S.Nakahara and H.Ishimoto:“A Study on the Requirements of Accountable Cloud Services and Log Management,”APSITT 2010, pp.1-6, Kuching, Malaysia, June 2010. (3) http://www.hpl.hp.com/techreports/2011/ HPL-2011-38.pdf クラウドサービスプロバイダとしての 藤木 直人 我々は,ログをつなげることでクラウド 内の出来事を可視化する技術を実現しよう としています.業務アプリや他のセキュリ ティプロダクトのログとの連携によるクラ ウドセキュリティの向上にご活用ください. ◆問い合わせ先 NTT情報流通プラットフォーム研究所 研究推進担当 TEL 0422-59-3212 FAX 0422-59-5650 E-mail pflab lab.ntt.co.jp NTT技術ジャーナル 2011.10 35