Comments
Description
Transcript
講演資料ダウンロード (PDF:7.68MB)
万が一に備える!クラウド環境のログ管理 本当に充分ですか・・・? 2015年1月23日 インフォサイエンス株式会社 プロダクト事業部 Infoscience Corporation www.infoscience.co.jp [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889 Contents 1. インフォサイエンスのご紹介 2. セキュリティとログの関係 3. 実効性の高いログのモニタリングとは 4. ログのモニタリングに必要な仕掛け 5. クラウド環境に於けるログ管理 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 2 インフォサイエンス株式会社 概要 設立 統合ログ管理システム「Logstorage」 1995年10月 代表者 宮 紀雄 E社 (3.5%) 資本金 1億円 事業内容 • パッケージソフトウェアの開発 • データセンタ運営 • 受託システム開発サービス • 包括システム運用サービス 所在地 東京都港区芝浦2丁目4番1号 インフォサイエンスビル その他 (2.2%) 導入社数 1,600社 8年連続 シェアNo.1 D社 (5.3%) C社 (7.9%) Logstorage B社 8.8% 51.1% A社 21.2% 出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2014(統合ログ管理市場)」 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 3 セキュリティとログの関係 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 4 ログ管理の目的 様々なルールや脅威への対応のために、ログの管理が行われている 個人情報保護法 金融商品取引法 国際ペイメントブランド/PCI DSS 不正アクセス禁止法 APT/標的型攻撃 マイナンバー/番号法 経産省/クラウドセキュリティガイドライン プライバシーマーク 情報漏洩(内部犯行) ISO27001/ISMS サイバー犯罪捜査 セキュリティ「制御」には限界がある。 「ログ」のモニタリングにより、リスクを早期に発見する。 4 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 5 統合ログ管理システムとは 個別のログ管理から統合ログ管理へ ・ログの「管理」に関わる様々な課題・問題への対応 - サーバ・機器上でログが改ざんされるリスク/ログ保管容量・期間の問題 ・ログの「分析」に関わる様々な課題・問題への対応 - ログの可読性/複数ログの追跡性/多様な分析要件 入退室管理 各種認証システム・サーバ (DB/ファイル/Web/Mail) ログ ログ 複合機・プリンタ ネットワーク機器 (FW/Router/LB) PC・デバイス クラウドサービス ログ ログ ログ ログ ログを可視化・モニタリングするための仕掛け 高圧縮保管 ログ 改ざん検出 横串・横断検索 アクセス制限 ログ分析・グラフ化 統合ログ管理システム 自動レポート出力 リアルタイムアラート 統合管理されたログ Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 6 ログ管理の実態 典型的な例 モニタリング されていない 流出経路 ・USB接続のデバイスへのコピー ・メールに添付して送信 ・クラウドストレージへのアップロード ・紙への印刷 etc… ログ送信? 守るべき情報の所在 ログ送信 File Server ログ管理システム PC Mail Server Web Proxy Server 制御に頼りきり 印刷 複合機 持出し 参照 データベース DB Server 作業員 ・ログは取ってるけど見てない(気づけない) ・ログを個別にしか見ていない(横断的な追跡・分析ができない) ・ログを診る「軸」が無い (正常・異常の区別がつかない) Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 7 統合ログ管理システム「Logstorage」 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 8 Logstorageの機能・システム構成 ログ収集機能 [受信機能] ・Syslog / FTP(S) / 共有フォルダ / SNMP [ログ送信・取得機能] ・Logstorage Agent ・Logstorage EventLogCollector ・Logstorage SecureBatchTransfer ログ保管機能 ・ログの圧縮保存/高速検索 ・ログの改ざんチェック機能 ・ログに対する意味(タグ)付け ・ログの暗号化保存 ・保存期間を経過したログを自動アーカイブ ・ログの保存領域管理機能 ログ検知機能 ・ポリシーに合致したログのアラート ・ポリシーはストーリー的に定義可能(シナリオ検知) Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. <Logstorage システム構成> 検索・集計・レポート機能 ・ログの検索/集計/レポート生成 ・検索結果に対する、クリック操作による絞込み ・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML), 出力形式のカスタマイズ 9 Logstorageのログ収集実績 日本国内で利用されているものを中心に250種類以上のログ収集実績 [OSシステム・イベント] [Web/プロキシ] [ネットワーク機器] ・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD ・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus ・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL ・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・FortiGate ・BIG-IP ・IronPort ・ServerIron ・Proventia [データベース監査ツール] [メール] ・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium ・MS Exchange ・sendmail ・Postfix ・qmail ・Exim [運用監視] [アンチウィルス] ・Nagios ・JP1 ・Systemwalker ・OpenView ・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris [Lotus Domino] [複合機] ・VMware vCenter ・SAP R/3 (ERP) ・NetApp (Storage) ・EMC (Storage) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server [クライアント操作] ・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・IVEX Logger ・MaLion3 ・秘文 ・SeP ・QND/QOH 【Logstorage アライアンス製品】 Palo Alto Networks next-generation firewalls SecureCube / AccessCheck [サーバアクセス] LanScope Cat SecureSphere DMG CWAT Sendmail ・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control InfoTrace Auge AccessWatcher MylogStar ALog ConVerter i-FILTER IVEX Logger シリーズ SecurePrint! ARCACLAVIS Revo Chakra MaLion3 SSDB監査 VISUACT AUDIT MASTER File Server Audit PISO 監査れポータル Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. [ICカード認証] ・SmartOn ・ARCACLAVIS Revo ・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher [データベース] ・imageRunner ・Apeos ・SecurePrint! [その他] …その他 10 実効性の高いログのモニタリングとは Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 11 改めて考えるログ管理・モニタリング ログのモニタリングの重要性が改めて叫ばれているが・・・ ログを保管している “だけ” では、自身で問題に気付けない。 ここはやはり、基本に忠実に。 ・まず、守りたい情報が何で、どこにあるのかを明確にし、 ・その上で、その情報に対するアクセス権管理をしっかりと、 ・更にその上で、アクセス権を持つ者に対するモニタリングをしっかりと。 しかし、不正を100%防ぐことは不可能… ならば… モニタリングの対象を絞り、「抑止」を効かせることに重点を置く。 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 12 アクセス権を持つ者に対するログモニタリング 「抑止」を効かせるログのモニタリング例 ~ アクセス権を持つ者の、いつもと違う振る舞い、或いは一般的に危ない振る舞い ~ アクセス件数の閾値設定 - データベースからの取得行数のチェック 相関 チェック - 個人情報が含まれるファイルに対するアクセスを、個人情報件数でチェック 外部への情報持ち出し - USB接続ログのチェック - 添付ファイル付きメール送信ログのチェック - 外部アップロードログのチェック 申請データとログの突き合わせ - 申請外のアクセスが無いかチェック Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. ログ管理システムを入れただけでは、それを周知 しても不正抑止にはならない。 日々のモニタリングで、少しでも気になるログが あれば当事者に確認し、抑止を効かせる。 13 ログのモニタリングを適切に行うための仕掛け ログモニタリング 3つの仕掛け ログを読めるようにする ログを追えるようにする ログを評価できるようにする Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 14 ログを読めるようにする Windowsイベントログの例 Logstorage ELC 人間が読んで理解できる形式への変換が必要 日時 サーバ名 アクション ドメイン名 ユーザ 接続元ホスト名 接続元IPアドレス 成功/失敗 2013-03-01 00:00:00 FS01 ログオン(ローカル認証) infoscience yamada - - 成功 2013-03-01 01:00:00 FS01 ログオン(リモート認証) infoscience yamada YAMADA-WORK 192.168.0.1 成功 日時 サーバ名 アクション ドメイン名 ユーザ ファイルパス ファイル名 成功/失敗 2013-03-01 00:00:00 FS01 ファイル読み込み infoscience yamada D:¥common¥ 顧客リスト.xls 成功 2013-03-01 01:00:00 FS01 ファイル書き込み infoscience yamada D:¥common¥ 顧客リスト.xls 成功 2013-03-01 02:00:00 FS01 ファイルリネーム infoscience yamada D:¥common コピー ~ 顧客リスト.xlsx - Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 15 ログを追えるようにする ログに対する意味づけ・タグ付け ログフォーマット定義 【入退出ログ】 1,カード認証OK ,2013/6/15 08:56,000500, カード:施解錠状態,(扉1-1),解錠 入室 タグ:結果 タグ:日時 タグ:ユーザID タグ:対象 タグ:アクション 【認証ログ】 SmartOn,2013/06/15 08:58:27,2131,0, yamada, 192.168.0.1, PC01, 192.168.111.124, ログオンしました。 タグ:日時 タグ:ユーザID タグ:PC名 タグ:IPアドレス タグ:アクション ログ項目に対して「タグ」付けを行うことで、 異なるフォーマットのログを横断的に扱う Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 16 ログを追えるようにする/ログ形式の違いの吸収 共通IDの付与によるログの追跡 統合ログ管理システム LogDB ③ 共通ID付与 /ログ保存 マスタ連携 ログ収集対象サーバ・機器 マスタ連携 フィルタ 共通IDマスタ サーバ・機器名 ID 共通ID ネットワーク機器A adm001 yamada メールA [email protected] yamada 入退出管理 000500 yamada 共通IDを付与したログ 2013/1/15 08:56, 192.168.0.1, 入室しました…000500.., yamada 共通IDを付与し、ログ追跡時の キーとして利用する 2013/1/15 08:56,192.168.0.2, yamada, login success….. 2013/1/15 08:56,192.168.0.3, adm001, login failure….., yamada Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 17 ログを追えるようにする(Logstorage検索画面) いつ? Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 誰が? どうした? 何処で?/何に対して? 18 ログを評価できるようにする 意味のあるログ分析を行うためには、設定した 「基準」と「ログ」との “突合” が重要 「基準」の例 実際に発生した事象の記録 「突合」して見つけるもの 作業対象サーバ上のログ 申請外の作業 (申請時間外作業・未申請作業など) 突合 入退室管理システムのログ 勤務実態 (サービス残業の有無など) IDカード管理台帳 突合 入退室管理システムのログ 未使用IDカード (退職者の未返却IDカードなど) 作業申請データ 突合 勤務表 社内セキュリティ 突合 ポリシー アクセスログ全般 個人情報へのアク 突合 セスログ USB利用ログ ルール違反のオペレーション 個人情報の持ち出しの疑い ”ログの突合” により、”正しくない状態” の 発見を自動化することで、確実な監査と業務の効率化を実現する 19 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 19 【導入事例】金融機関様 目的:システムに対する申請外の作業や、休日・平日深夜早朝のアクセスなど、疑わしいログを自動的に リストアップし、各部署で目視で対応している点検作業の負荷を軽減させる 選定理由:標準機能で対応できる範囲が大きく、カスタマイズ性も高い。 国産製品で日本国内導入実績が多数あり、金融系の実績も豊富。 ④アクセスログ収集 システム利用 ⑤突合 レポート出力 お客様データセンター ②申請データ アップロード システム管理者 (作業承認者) お客様オフィス Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. システム利用者 (行内) ③作業・メンテナンス ①作業申請・承認 運用担当者(外部委託/複数社) 20 20 【導入事例】金融機関様 作業申請と作業ログの突合レポート 運用担当者(外部委託)の アクセスログ・モニタリング マスタデータ(作業申請) ログデータ システム ユーザID 作業開始時間 作業終了時間 SystemA suzuki 2012/03/21 10:00:00 2012/03/21 12:00:00 突合 時刻 アクション ユーザID 2012/03/21 13:12:31 ログオン yamada 2012/03/21 14:49:35 ログオフ yamada 2012/03/21 10:31:23 ログオン suzuki 2012/03/21 12:38:21 ログオフ suzuki 突合レポート(Logstorageにより自動出力) システム ユーザID 作業開始時間(申請) 作業終了時間(申請) ログオン時間 ログオフ時間 判定結果 SystemA yamada 申請なし 申請なし 2012/03/21 13:12:31 2012/03/21 14:49:35 × SystemA suzuki 2012/03/21 10:00:00 2012/03/21 12:00:00 2012/03/21 10:31:23 2012/03/21 12:38:21 × 事前申請通りの作業が行われているか自動チェック 21 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 21 ログとログの突合 ログとログの突合レポート 想定ケース 持出し 参照 データベース DB Server USBデバイス利用ログ 1,000件以上の個人情報取得ユーザ 日時 ユーザID IPアドレス 外部デバイス 2014/08/22 23:45:32 yamada 192.168.0.1 USB (E:¥list.xls) 突合 日付 ユーザID 対象 件数 2014/08/22 10:17:02 sato db1.customer 1,424 2014/08/22 14:54:33 suzuki db1.customer 1,424 2014/08/22 23:32:11 yamada db1.customer 1,424 突合レポート(Logstorageにより自動出力) 日時 ユーザID 対象 件数 外部デバイス 2014/08/22 23:32:11 yamada db1.customer 1,424 USB (E:¥list.xls) 判定結果 要確認 1,000件以上の個人情報を取得し、かつUSB利用しているユーザを自動チェック Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 22 クラウド環境に於けるログ管理 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 23 オンプレミス環境のログ管理との違い クラウドサービス利用ログの監査 クラウドサービス(AWS/Azureなど) ・管理コンソールへのアクセスログ ・サービスの生成/起動/停止/削除ログ サービスの 生成/起動/停止/削除 ・ユーザ管理ログ ・セキュリティポリシー変更ログ ・利用料金ログ 管理アクセス HTTPS クラウドサービス上のログ取得 ・AWS CloudTrail ・Microsoft Azure 管理ポータルの操作ログ ユーザ側 管理者 管理コンソール へのログイン 仮想サーバやサービス上のログだけでなく、 サービスに対する管理アクセスのログ管理も必要 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 仮想サーバ 仮想サーバ ・サービス 仮想サーバ ・サービス ・サービス 管理 コンソール 仮想Firewall ルール・ポリシー の設定 ユーザ管理 ユーザの作成・ 権限変更 アラート管理 利用料金の管理 24 Amazon Web Service(AWS)のケース AWS CloudTrail とは AWSアカウントのAPIコールを記録する仕組み コンプライアンス準拠 社内規定や規制基準に応じたAWSリソースの 管理について説明するためにこれらの情報を 用いることができる リソースの ライフサイクル管理 あるAWSリソースの作成から削除まで追跡す ることができる 運用上の トラブルシューティング リースに対して最近行われた変更を特定する ことができる セキュリティ面の分析 不適切な権限でのアクセスのため拒否された APIコールを見ることができる 以下のような問いに答えることができます。 ・ユーザーがある期間に行った操作は? ・どのAWSユーザーが、いつ、何を、どのように操作したか? ・操作がどの接続元(IPアドレス)から行われたか? Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 25 AWS CloudTrail 利用上の課題 AWS CloudTrail 利用上の課題 ■ログデータは AWS S3(クラウドストレージ) に出力 ログを定期的に取りに行く必要がある。 ■そのままでは読めない複雑な形式(JSON形式)で記録される ログを読めるようにする必要がある。 ■記録される内容が多岐に渡る ログから何を見るか、明確にする必要がある。 ログの取得・解析・分析を自動化するツールが必須 Logstorageのオプション製品「AWS CloudTrail連携パック」 を活用してログを可視化!! Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 26 Logstorage AWS CloudTrail連携パック レポート例 承認されていないインスタンスの 生成・起動は無いか Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 27 Logstorage AWS CloudTrail連携パック レポート例 誤ったインスタンスの 削除は無いか Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 28 Logstorage AWS CloudTrail連携パック レポート例 管理コンソールに、不正に アクセスされていないか Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 29 Logstorage AWS CloudTrail連携パック レポート例 管理外の接続は無いか? Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 30 Logstorage AWS CloudTrail連携パック レポート例 承認されていないユーザ からのアクセスは無いか Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 31 日立システムズ様 クラウド向け管理提供サービス 解決策 ・国内シェアNo.1(*1)のログ管理製品をクラウド 上で稼働させログ管理を行う。 ・製品、及び関連する監視サービスを、月額サー ビス型で安価に導入する。(*2) お客様の課題 ・クラウド上のシステムにログ管理を導入し監査 対応を行いたい。 ・ログ管理についてもサービス型で安価な導入と したい。 実現イメージ お客様 日立システムズ ログ管理SE ① ログ収集 意味付け・保存 ② ログ検索 レポート 問題分析 連絡 日立システムズ データセンタ ログ管理サーバ ログ ヘルスチェック エージェント 異常検知 ログ管理システム 状態監視 ③ ログ管理システム 異常検知 特権ユーザーの 監査対応等で利用 業務サーバー(5台) Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 32 END 万が一に備える!クラウド環境のログ管理 本当に充分ですか・・・? 2015/1/23 インフォサイエンス株式会社 プロダクト事業部 稲村 大介 Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 33