...

講演資料ダウンロード (PDF:7.68MB)

by user

on
Category: Documents
23

views

Report

Comments

Transcript

講演資料ダウンロード (PDF:7.68MB)
万が一に備える!クラウド環境のログ管理
本当に充分ですか・・・?
2015年1月23日
インフォサイエンス株式会社 プロダクト事業部
Infoscience Corporation
www.infoscience.co.jp
[email protected]
Tel: 03-5427-3503 Fax: 03-5427-3889
Contents
1. インフォサイエンスのご紹介
2. セキュリティとログの関係
3. 実効性の高いログのモニタリングとは
4. ログのモニタリングに必要な仕掛け
5. クラウド環境に於けるログ管理
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
2
インフォサイエンス株式会社 概要
設立
統合ログ管理システム「Logstorage」
1995年10月
代表者
宮 紀雄
E社
(3.5%)
資本金
1億円
事業内容
• パッケージソフトウェアの開発
• データセンタ運営
• 受託システム開発サービス
• 包括システム運用サービス
所在地
東京都港区芝浦2丁目4番1号 インフォサイエンスビル
その他
(2.2%)
導入社数 1,600社
8年連続 シェアNo.1
D社
(5.3%)
C社
(7.9%)
Logstorage
B社
8.8%
51.1%
A社
21.2%
出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2014(統合ログ管理市場)」
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
3
セキュリティとログの関係
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
4
ログ管理の目的
様々なルールや脅威への対応のために、ログの管理が行われている
個人情報保護法
金融商品取引法
国際ペイメントブランド/PCI DSS
不正アクセス禁止法
APT/標的型攻撃
マイナンバー/番号法
経産省/クラウドセキュリティガイドライン
プライバシーマーク
情報漏洩(内部犯行)
ISO27001/ISMS
サイバー犯罪捜査
セキュリティ「制御」には限界がある。
「ログ」のモニタリングにより、リスクを早期に発見する。
4
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
5
統合ログ管理システムとは
個別のログ管理から統合ログ管理へ
・ログの「管理」に関わる様々な課題・問題への対応
- サーバ・機器上でログが改ざんされるリスク/ログ保管容量・期間の問題
・ログの「分析」に関わる様々な課題・問題への対応
- ログの可読性/複数ログの追跡性/多様な分析要件
入退室管理
各種認証システム・サーバ
(DB/ファイル/Web/Mail)
ログ
ログ
複合機・プリンタ
ネットワーク機器
(FW/Router/LB)
PC・デバイス
クラウドサービス
ログ
ログ
ログ
ログ
ログを可視化・モニタリングするための仕掛け
高圧縮保管
ログ
改ざん検出
横串・横断検索
アクセス制限
ログ分析・グラフ化
統合ログ管理システム
自動レポート出力
リアルタイムアラート
統合管理されたログ
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
6
ログ管理の実態
典型的な例
モニタリング
されていない
流出経路
・USB接続のデバイスへのコピー
・メールに添付して送信
・クラウドストレージへのアップロード
・紙への印刷
etc…
ログ送信?
守るべき情報の所在
ログ送信
File Server
ログ管理システム
PC
Mail
Server
Web
Proxy
Server
制御に頼りきり
印刷
複合機
持出し
参照
データベース
DB Server
作業員
・ログは取ってるけど見てない(気づけない)
・ログを個別にしか見ていない(横断的な追跡・分析ができない)
・ログを診る「軸」が無い
(正常・異常の区別がつかない)
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
7
統合ログ管理システム「Logstorage」
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
8
Logstorageの機能・システム構成
ログ収集機能
[受信機能]
・Syslog / FTP(S) / 共有フォルダ / SNMP
[ログ送信・取得機能]
・Logstorage Agent
・Logstorage EventLogCollector
・Logstorage SecureBatchTransfer
ログ保管機能
・ログの圧縮保存/高速検索
・ログの改ざんチェック機能
・ログに対する意味(タグ)付け
・ログの暗号化保存
・保存期間を経過したログを自動アーカイブ
・ログの保存領域管理機能
ログ検知機能
・ポリシーに合致したログのアラート
・ポリシーはストーリー的に定義可能(シナリオ検知)
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
<Logstorage システム構成>
検索・集計・レポート機能
・ログの検索/集計/レポート生成
・検索結果に対する、クリック操作による絞込み
・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML), 出力形式のカスタマイズ
9
Logstorageのログ収集実績
日本国内で利用されているものを中心に250種類以上のログ収集実績
[OSシステム・イベント]
[Web/プロキシ]
[ネットワーク機器]
・Windows
・Solaris
・AIX
・HP-UX
・Linux
・BSD
・Apache
・IIS
・BlueCoat
・i-FILTER
・squid
・WebSense
・WebSphere
・WebLogic
・Apache Tomcat
・Cosminexus
・Oracle
・SQLServer
・DB2
・PostgreSQL
・MySQL
・Cisco PIX/ASA
・Cisco Catalyst
・NetScreen/SSG
・PaloAlto PA
・VPN-1
・Firewall-1
・Check Point IP
・SSL-VPN
・FortiGate
・NOKIA IP
・Alteon
・SonicWall
・FortiGate
・BIG-IP
・IronPort
・ServerIron
・Proventia
[データベース監査ツール]
[メール]
・PISO
・Chakra
・SecureSphere DMG/DSG
・SSDB監査
・AUDIT MASTER
・IPLocks
・Guardium
・MS Exchange
・sendmail
・Postfix
・qmail
・Exim
[運用監視]
[アンチウィルス]
・Nagios
・JP1
・Systemwalker
・OpenView
・Symantec AntiVirus
・TrendMicro InterScan
・McAfee VirusScan
・HDE Anti Vuris
[Lotus Domino]
[複合機]
・VMware vCenter
・SAP R/3 (ERP)
・NetApp (Storage)
・EMC (Storage)
・ex-SG (入退室管理)
・MSIESER
・iSecurity
・Desk Net’s
・HP NonStop Server
[クライアント操作]
・LanScope Cat
・InfoTrace
・CWAT
・MylogStar
・IVEX Logger
・MaLion3
・秘文
・SeP
・QND/QOH
【Logstorage アライアンス製品】
Palo Alto Networks
next-generation firewalls
SecureCube / AccessCheck
[サーバアクセス]
LanScope Cat
SecureSphere DMG
CWAT
Sendmail
・ALogコンバータ
・VISUACT
・File Server Audit
・CA Access Control
InfoTrace
Auge AccessWatcher
MylogStar
ALog ConVerter
i-FILTER
IVEX Logger シリーズ
SecurePrint!
ARCACLAVIS Revo
Chakra
MaLion3
SSDB監査
VISUACT
AUDIT MASTER
File Server Audit
PISO
監査れポータル
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
[ICカード認証]
・SmartOn
・ARCACLAVIS Revo
・Lotus Domino
・Notes AccessAnalyzer2
・Auge AccessWatcher
[データベース]
・imageRunner
・Apeos
・SecurePrint!
[その他]
…その他
10
実効性の高いログのモニタリングとは
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
11
改めて考えるログ管理・モニタリング
ログのモニタリングの重要性が改めて叫ばれているが・・・
ログを保管している “だけ” では、自身で問題に気付けない。
ここはやはり、基本に忠実に。
・まず、守りたい情報が何で、どこにあるのかを明確にし、
・その上で、その情報に対するアクセス権管理をしっかりと、
・更にその上で、アクセス権を持つ者に対するモニタリングをしっかりと。
しかし、不正を100%防ぐことは不可能…
ならば…
モニタリングの対象を絞り、「抑止」を効かせることに重点を置く。
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
12
アクセス権を持つ者に対するログモニタリング
「抑止」を効かせるログのモニタリング例
~ アクセス権を持つ者の、いつもと違う振る舞い、或いは一般的に危ない振る舞い ~
アクセス件数の閾値設定
- データベースからの取得行数のチェック
相関
チェック - 個人情報が含まれるファイルに対するアクセスを、個人情報件数でチェック
外部への情報持ち出し
- USB接続ログのチェック
- 添付ファイル付きメール送信ログのチェック
- 外部アップロードログのチェック
申請データとログの突き合わせ
- 申請外のアクセスが無いかチェック
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
ログ管理システムを入れただけでは、それを周知
しても不正抑止にはならない。
日々のモニタリングで、少しでも気になるログが
あれば当事者に確認し、抑止を効かせる。
13
ログのモニタリングを適切に行うための仕掛け
ログモニタリング 3つの仕掛け
ログを読めるようにする
ログを追えるようにする
ログを評価できるようにする
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
14
ログを読めるようにする
Windowsイベントログの例
Logstorage ELC
人間が読んで理解できる形式への変換が必要
日時
サーバ名
アクション
ドメイン名
ユーザ
接続元ホスト名
接続元IPアドレス
成功/失敗
2013-03-01 00:00:00
FS01
ログオン(ローカル認証)
infoscience
yamada
-
-
成功
2013-03-01 01:00:00
FS01
ログオン(リモート認証)
infoscience
yamada
YAMADA-WORK
192.168.0.1
成功
日時
サーバ名
アクション
ドメイン名
ユーザ
ファイルパス
ファイル名
成功/失敗
2013-03-01 00:00:00
FS01
ファイル読み込み
infoscience
yamada
D:¥common¥
顧客リスト.xls
成功
2013-03-01 01:00:00
FS01
ファイル書き込み
infoscience
yamada
D:¥common¥
顧客リスト.xls
成功
2013-03-01 02:00:00
FS01
ファイルリネーム
infoscience
yamada
D:¥common
コピー ~ 顧客リスト.xlsx
-
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
15
ログを追えるようにする
ログに対する意味づけ・タグ付け
ログフォーマット定義
【入退出ログ】
1,カード認証OK ,2013/6/15 08:56,000500, カード:施解錠状態,(扉1-1),解錠 入室
タグ:結果
タグ:日時
タグ:ユーザID
タグ:対象
タグ:アクション
【認証ログ】
SmartOn,2013/06/15
08:58:27,2131,0, yamada, 192.168.0.1, PC01, 192.168.111.124, ログオンしました。
タグ:日時
タグ:ユーザID
タグ:PC名
タグ:IPアドレス
タグ:アクション
ログ項目に対して「タグ」付けを行うことで、
異なるフォーマットのログを横断的に扱う
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
16
ログを追えるようにする/ログ形式の違いの吸収
共通IDの付与によるログの追跡
統合ログ管理システム
LogDB
③ 共通ID付与
/ログ保存
マスタ連携
ログ収集対象サーバ・機器
マスタ連携
フィルタ
共通IDマスタ
サーバ・機器名
ID
共通ID
ネットワーク機器A
adm001
yamada
メールA
[email protected]
yamada
入退出管理
000500
yamada
共通IDを付与したログ
2013/1/15 08:56, 192.168.0.1, 入室しました…000500.., yamada
共通IDを付与し、ログ追跡時の
キーとして利用する
2013/1/15 08:56,192.168.0.2, yamada, login success…..
2013/1/15 08:56,192.168.0.3, adm001, login failure….., yamada
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
17
ログを追えるようにする(Logstorage検索画面)
いつ?
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
誰が?
どうした?
何処で?/何に対して?
18
ログを評価できるようにする
意味のあるログ分析を行うためには、設定した
「基準」と「ログ」との “突合” が重要
「基準」の例
実際に発生した事象の記録
「突合」して見つけるもの
作業対象サーバ上のログ
申請外の作業
(申請時間外作業・未申請作業など)
突合
入退室管理システムのログ
勤務実態
(サービス残業の有無など)
IDカード管理台帳 突合
入退室管理システムのログ
未使用IDカード
(退職者の未返却IDカードなど)
作業申請データ 突合
勤務表
社内セキュリティ
突合
ポリシー
アクセスログ全般
個人情報へのアク
突合
セスログ
USB利用ログ
ルール違反のオペレーション
個人情報の持ち出しの疑い
”ログの突合” により、”正しくない状態” の
発見を自動化することで、確実な監査と業務の効率化を実現する
19
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
19
【導入事例】金融機関様
目的:システムに対する申請外の作業や、休日・平日深夜早朝のアクセスなど、疑わしいログを自動的に
リストアップし、各部署で目視で対応している点検作業の負荷を軽減させる
選定理由:標準機能で対応できる範囲が大きく、カスタマイズ性も高い。
国産製品で日本国内導入実績が多数あり、金融系の実績も豊富。
④アクセスログ収集
システム利用
⑤突合
レポート出力
お客様データセンター
②申請データ
アップロード
システム管理者
(作業承認者)
お客様オフィス
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
システム利用者
(行内)
③作業・メンテナンス
①作業申請・承認
運用担当者(外部委託/複数社)
20
20
【導入事例】金融機関様
作業申請と作業ログの突合レポート
運用担当者(外部委託)の
アクセスログ・モニタリング
マスタデータ(作業申請)
ログデータ
システム
ユーザID
作業開始時間
作業終了時間
SystemA
suzuki
2012/03/21 10:00:00
2012/03/21 12:00:00
突合
時刻
アクション
ユーザID
2012/03/21 13:12:31
ログオン
yamada
2012/03/21 14:49:35
ログオフ
yamada
2012/03/21 10:31:23
ログオン
suzuki
2012/03/21 12:38:21
ログオフ
suzuki
突合レポート(Logstorageにより自動出力)
システム
ユーザID
作業開始時間(申請)
作業終了時間(申請)
ログオン時間
ログオフ時間
判定結果
SystemA
yamada
申請なし
申請なし
2012/03/21 13:12:31
2012/03/21 14:49:35
×
SystemA
suzuki
2012/03/21 10:00:00
2012/03/21 12:00:00
2012/03/21 10:31:23
2012/03/21 12:38:21
×
事前申請通りの作業が行われているか自動チェック
21
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
21
ログとログの突合
ログとログの突合レポート
想定ケース
持出し
参照
データベース
DB Server
USBデバイス利用ログ
1,000件以上の個人情報取得ユーザ
日時
ユーザID
IPアドレス
外部デバイス
2014/08/22 23:45:32
yamada
192.168.0.1
USB (E:¥list.xls)
突合
日付
ユーザID
対象
件数
2014/08/22 10:17:02
sato
db1.customer
1,424
2014/08/22 14:54:33
suzuki
db1.customer
1,424
2014/08/22 23:32:11
yamada
db1.customer
1,424
突合レポート(Logstorageにより自動出力)
日時
ユーザID
対象
件数
外部デバイス
2014/08/22 23:32:11
yamada
db1.customer
1,424
USB (E:¥list.xls)
判定結果
要確認
1,000件以上の個人情報を取得し、かつUSB利用しているユーザを自動チェック
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
22
クラウド環境に於けるログ管理
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
23
オンプレミス環境のログ管理との違い
クラウドサービス利用ログの監査
クラウドサービス(AWS/Azureなど)
・管理コンソールへのアクセスログ
・サービスの生成/起動/停止/削除ログ
サービスの
生成/起動/停止/削除
・ユーザ管理ログ
・セキュリティポリシー変更ログ
・利用料金ログ
管理アクセス
HTTPS
クラウドサービス上のログ取得
・AWS CloudTrail
・Microsoft Azure 管理ポータルの操作ログ
ユーザ側
管理者
管理コンソール
へのログイン
仮想サーバやサービス上のログだけでなく、
サービスに対する管理アクセスのログ管理も必要
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
仮想サーバ
仮想サーバ
・サービス
仮想サーバ
・サービス
・サービス
管理
コンソール
仮想Firewall
ルール・ポリシー
の設定
ユーザ管理
ユーザの作成・
権限変更
アラート管理
利用料金の管理
24
Amazon Web Service(AWS)のケース
AWS CloudTrail とは
AWSアカウントのAPIコールを記録する仕組み
コンプライアンス準拠
社内規定や規制基準に応じたAWSリソースの
管理について説明するためにこれらの情報を
用いることができる
リソースの
ライフサイクル管理
あるAWSリソースの作成から削除まで追跡す
ることができる
運用上の
トラブルシューティング
リースに対して最近行われた変更を特定する
ことができる
セキュリティ面の分析
不適切な権限でのアクセスのため拒否された
APIコールを見ることができる
以下のような問いに答えることができます。
・ユーザーがある期間に行った操作は?
・どのAWSユーザーが、いつ、何を、どのように操作したか?
・操作がどの接続元(IPアドレス)から行われたか?
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
25
AWS CloudTrail 利用上の課題
AWS CloudTrail 利用上の課題
■ログデータは AWS S3(クラウドストレージ) に出力
ログを定期的に取りに行く必要がある。
■そのままでは読めない複雑な形式(JSON形式)で記録される
ログを読めるようにする必要がある。
■記録される内容が多岐に渡る
ログから何を見るか、明確にする必要がある。
ログの取得・解析・分析を自動化するツールが必須
Logstorageのオプション製品「AWS CloudTrail連携パック」
を活用してログを可視化!!
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
26
Logstorage AWS CloudTrail連携パック レポート例
承認されていないインスタンスの
生成・起動は無いか
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
27
Logstorage AWS CloudTrail連携パック レポート例
誤ったインスタンスの
削除は無いか
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
28
Logstorage AWS CloudTrail連携パック レポート例
管理コンソールに、不正に
アクセスされていないか
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
29
Logstorage AWS CloudTrail連携パック レポート例
管理外の接続は無いか?
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
30
Logstorage AWS CloudTrail連携パック レポート例
承認されていないユーザ
からのアクセスは無いか
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
31
日立システムズ様 クラウド向け管理提供サービス
解決策
・国内シェアNo.1(*1)のログ管理製品をクラウド
上で稼働させログ管理を行う。
・製品、及び関連する監視サービスを、月額サー
ビス型で安価に導入する。(*2)
お客様の課題
・クラウド上のシステムにログ管理を導入し監査
対応を行いたい。
・ログ管理についてもサービス型で安価な導入と
したい。
実現イメージ
お客様
日立システムズ
ログ管理SE
① ログ収集
意味付け・保存
② ログ検索
レポート
問題分析
連絡
日立システムズ
データセンタ
ログ管理サーバ
ログ
ヘルスチェック
エージェント
異常検知
ログ管理システム
状態監視
③ ログ管理システム
異常検知
特権ユーザーの
監査対応等で利用
業務サーバー(5台)
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
32
END
万が一に備える!クラウド環境のログ管理
本当に充分ですか・・・?
2015/1/23
インフォサイエンス株式会社 プロダクト事業部
稲村 大介
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
33
Fly UP