セキュリティ対策に有効な統合ログ管理 · 8/14/2008 ·...

LogLogic Confidential 2008年8月14日(木)1

セキュリティ対策に有効な統合ログ管理Automating Compliance & Mitigating Risk

LogLogic Japan 株式会社カントリーマネージャ池田克彦

e-mail: [email protected]

2008年8月14日(木) 2Confidential |Automating Compliance. Mitigating Risk.

ネットワークの大規模化・複雑化に伴うセキュリティ管理上のリスク

セキュリティ対策は万全・・・・– 情報漏えい対策– 情報改竄・不正アクセス対策– サイトアタック、SQLインジェクション、

どこまでやるの？– 外部 or 内部による不正アクセス

– 人為的な処理ミス

– 災害対策は？

対策セオリー

– 情報の機密性の確保

– 情報の完全性の確保

– 情報の可用性の確保


セキュリティ管理におけるログの重要性

ユーザー・システムの

アクティビティ

アプリケーションの利用

顧客のトランザクション

Email BCC

Logon失敗

セキュリティ違反

ファイルのUp/Down Load

クレジットカードデータへのアクセス

情報漏洩

変更／履歴管理

30%


ログマネージメントで広がる世界

ログマネージメント

運用コスト削減

システム監視

運用者・管理者操作履歴

セキュリティマネジメント

資産利用履歴の把握

サービス利用履歴の把握

内部統制対応

就労時間の把握

コンプライアンス対応

セキュリティインシデント化

業務のトレース

業務の見える化運用の効率化

セキュリティ対応資産管理

ガバナンス

出典：日本ヒューレット・パッカード株式会社

クライアント・プリンシパル

CISSP 小熊敬太

講演名：統合ログ管理の重要性について


1200台のログサーバーを削減

PCI監査に必要な時間を400時間削減

監査を一度でパス・見える化を促進

一件の調査にかかっていた時間を50時間から2時間弱へ削減

ダウンタイムを大幅に削減

大手流通事業者での統合ログ管理導入効果

ITインフラの簡素化

コンプライアンス対応費用の削減

ITコントロールの実施とレポーティングを自動化

迅速なフォレンジック

サービス稼働率の向上

6ヶ月以下で投資を回収


セキュリティ基準ＰＣＩＤＳＳ

ＰＣＩＤＳＳとは？– Payment Card Industry Data Security Standard– 米国クレジットカード業界の自主規格

– 具体的なセキュリティ基準・対策を明示

日本ではどうなの？– ２００８年６月１１日改正割賦販売法が国会で成立

– 今後経産省が基準を策定

割賦販売法第3章の４クレジットカード番号等の適切な管理等第35条の16４クレジットカード等購入あつせん業者又は立替払い取次ぎ業者は、クレジットカード番号等保有業者（次の各号のいずれかに該当するものをいう。以下同じ）の取り扱うクレジットカード番

号等の適切な管理が図られるよう、経済産業省令で定める基準に従い、クレジットカード番号等保有業者に対する必要な指導その他の措置を講じなければならない。


Oracleデータベースログイン• DB2データベースログイン

8.5.16—認証データベース

• サーバー上でエスカレーションがかかったログオン• ログイン失敗• サーバーへのアクセス失敗• 定期的なログレポートのレビュー

10.2.3—アクセスログ監査証跡

• 攻撃されたアプリケーション• 攻撃元

11.4—IDS/IPS利用

• Tripwire 変更・追加・削除11.5—ファイルの完全性モニタリング

• Windowsアカウントのロック8.5.13—アカウントロックアウト

PCI 要求事項 Sample Reports and Alerts (LogLogic)

8.5.1—ユーザーＩＤ管理のコントロール • サーバー上でのアカウントの活動• Windowsサーバーの変更承認

• アカウント作成・削除

8.5.5—共有アカウントの使用禁止 • ルート・アドミニストレーターのログイン

8.5.9— 低90日でのユーザーアクセスの変更 • Windowsサーバーのパスワード変更• Microsoft SQLサーバーのパスワード変更

PCI DSS セキュリティ運用管理事例


Alert policy: risky firewall access

アラートダッシュボード

ネットワークポリジーアラート：ファイアウォールはポート21経由のアクセスを許可している（ＰＣＩ基準に違反）

危険な接続を表示

PCI利用事例: Firewall Policy アラート


統合ログ管理ニーズの急激な増大

必要なデバイス

セキュリティセキュリティコンプライアンスコンプライアンスリスク管理リスク管理

200720072006200620042004

市場の牽引要素

20052005

ホスト、プロキシ、アプリケーションログ管理の必要性が急激に高まっている。

エンタープライズソフトウェアはほとんどがカスタマイズされている。

IDS/IPS Firewalls VPN Win/LinuxServers

ProxyServers

RAS Servers

E-MailServers

AS400OS390

EnterpriseSoftware

DatabaseSoftware

従来のログ管理

統合ログ管理

ログ

容量

MRR


ログ管理はすでに必須要素（システム運用管理から各種法規則対応まで）

PCIHIPAANIST

SLA Validationトラブルシューティング調査フォレンジックログデータウェアハウス

NISTITILCoBit

ISOjCoBit各種情報資産の保護

• J-SOX• GLBA• SOX • FISMA

Lose

Cus

tomers

Get F

ined

Go To

Jail

Lose

Job

法規制

業界必須

セキュリティ上要望

運用管理のバリデーション

ＩＴ運用管理の基盤

ビジネスプロセス管理


問題点:システム毎に分断されたログ管理

ログを発生する多くのデバイスが管理から漏れている（独自開発したアプリケーションを含む）

低い信頼性

自動化が遅れておりログ管理担当者の手作業に依存

ログデータの保存・処理作業等が不要に重複

ログデータの改ざん・紛失を許す可能性のある管理体系

コンプライアンス対応に疑問

ログ分析に多大の時間を要し、リスクへの対応に遅れ

ネットワークサーバーデータベース社内開発

アプリ

今日の混乱した全社規模のログ管理

LogSilo

???????????

????

??????

??????

????

??? ?

??????

LOGS? ?

????

?????

??ユーザーID管理者

IT・ネットワーク運用者

セキュリティ運用者

IT統制・コンプライアンス担当者

LogTool

Log Jam


ログは取るだけでは不十分・ライフサイクルで活用


コンプライアンス対応:ログ管理における高い拡張性、処理性能を持つ専用プラットーフォーム

Log Management Data Warehouse™ 構築により分断されたログ管理を統合

ログライフサイクル管理の自動化

ログ及びログ分析結果の共有を可能にするOpen Log Services™各ログ運用者の権限を個別に設定し安全な運用が可能

外部の大規模ストレージに対応

ノンストップ運用

リアルタイムでのアラート・分析

LogLogic LMDW

LogLogic導入によるログ管理データウェアハウス構築（Log Management Data Warehouse : LMDW)

ネットワークサーバーデータベース社内開発

アプリ

ユーザーID管理者

IT・ネットワーク運用者

セキュリティ運用者

IT統制・コンプライアンス担当者


製品概要

専用アプライアンスとしてご提供– インストール、設定が容易

– パフォーマンスを保証

– メンテナンスが容易

2種類のアプライアンス– LXシリーズ

– 90日分のログを内蔵データベースに保持、ログ収集、アラート、レポート機能を実現

– STシリーズ

– より高速なログ収集、生ログのアーカイブ及び高速検索を実現


LX 510500 – 4,000 メッセージ／秒の収集能力

2TBのストレージ内蔵

完全なログのライフサイクル管理を実現

“Very Good” Excellent!

3,000 – 75,000+ メッセージ/秒の収集能力

内蔵ストレージに大34TBのログを安全に保管

多くのNAS、SAN、WORM等の外部ストレージ

システムとの接続性を保証

世界速のログ検索

Excellent!

10種類以上の主要運用規則へのコンプライアンス

の為に500以上のレポート・アラートを準備

デフォルトで搭載する24種類のレポートテンプレート

を用いることにより、15,000種類のレポートを

作成可能

ガイドブック、ベストプラクティス

ISO17799PCISOX & COBIT 4

HIPAAITIL FISMA

LX 1010

LX 2010

ST 2010

ST 3010

業界をリードするログライフサイクル管理ソリューション


LXシリーズ

LX 2010– 4000メッセージ/秒で継続的にログ収集可能

（20,000 メッセージ/秒までのバーストに対応)– CPUを2つ、RAID5対応ディスクを搭載した2Uサイズのアプライアンス– 二重化電源– ネットワークI/Fを複数搭載 (2x1000/100/10 & 100/10)– ネットワーク断、システム故障に対応したフェイルオーバー機能

LX 1010– 1500メッセージ/秒で継続的にログ収集可能

（7,500 メッセージ/秒までバースト対応)– 1Uサイズのアプライアンス– ネットワークI/Fを2個搭載 (1000/100/10 & 100/10)– ネットワーク断、システム故障に対応したフェイルオーバー機能

LX 510– 500メッセージ/秒でログ収集可能– 1Uサイズのアプライアンス– ネットワークI/Fを2個搭載 (1000/100/10 & 100/10)– 小規模リモート拠点への配置に適


ST シリーズ

ST 3010– 75,000メッセージ/秒で継続的にログ収集可能

– 3Uサイズのアプライアンス、CPU2個、二重化電源搭載

– HA対応高性能ディスク、ミラーOS、スペアディスク付RAID5対応

– 生ログ圧縮しMD5ハッシュ値と共に安全に保管

ST 2010– 75,000メッセージ/秒で継続的にログ収集可能

– 2Uサイズのアプライアンス、CPU2個、250GBディスク二台（RAID1構成）搭載

– NAS、WORM等の外部ストレージシステムにマウント可能

– 生ログ圧縮しMD5ハッシュ値と共に安全に保管


LogLogic ソリューションの特長・競合優位点

オープンなプラットフォーム

スケーラブルなアーキテクチャと大規模構築実績

クラスタ構成が可能な高可用性

柔軟なレポート機能と豊富なテンプレート集

高速大容量ログ収集・検索性能

LogLogic が提供する価値


オープンなログインターフェースダッシュボードやポータルの作成が容易に

Application

Logs

System

Logs

Network

Logs

Log Sources Data Sources

OperationsCXOs Auditors

◇


スモールスタートが可能な構成

ログ収集デバイスを限定して開始

短時間のインストールでログ収集開始、レポートも可能

対象デバイスの100％の

ログデータを収集

多角的なログ分析が可能に

– 構造解析、インデックス、データ分類、アラートを実行

分析に手間がかからない

– カスタマイズや、スクリプトの作成、デバイスのサポート待ちなどの手間がかからない

オープンなログサービスを提供: SOA

本社の監査対象に導入

LX 1010 or LX 2010System

Applications Databases Servers Network


ログデータウェアハウスソリューション

秒間 75,000 メッセージのログ収集能力

確立したログストレージ

– 大38TBの生ログをST1台で

保存可能

– 改竄不可能な状態でログデータを大量・安全に保存可能

リアルタイム分析＆ヒストリカルな分析環境を提供

– 閾値によるアラート設定

– ユーザーアクティビティの細部にわたるドリルダウン

– フォレンジック調査のためのログ情報の検索、リプレイ

本社部門

LX 1010 orLX 2010System

Raw Log TransferST 3010 SystemRaw Logs

Applications Databases Servers Network


London

Disaster Recovery Site

業界高クラスのスケーラビリティ

EncryptionAppliance

Main Data Center

EncryptedRaw Logs

Regional Branch

Tokyo

HomegrownApplications

Databases

Servers

Network

NASSAN

SOX

◇


F100 Enterprise

IndustrySector

Financial

PrimaryDriver

Ops

LogLogicSystems

34

DevicesMonitored

40,000

Events(Annually)

3trn +

StorageVolume

200tb

StoragePeriod

3yrs

Architecture

Distrib’

大手米国金融機関でのＨＡ導入例US本社コアデータセンタ

Cisco PIXFirewalls

Check PointFirewalls

Routers &Switches

VPN Systems

Daily SCP Back-up

NAS / SANStorage

Sun SCPServer

Management Station

◇


レポート例: COBIT/SOXコンプライアンススイート

COBIT Control Objective Sample Reports and Alerts

PO7.8—職責の変更及び解雇 • Windowsサーバーへのアカウントの削除・追加

• サーバー上のアカウントアクティビティ• Windowsサーバーの変更許可

• ログインの成功

AI6.1—変更の標準と手続き • Windowsサーバーのリブート

• システムのリブート• データベース構成変更• Cisco PIX フェールオーバーの実行

DS5.3—ＩＤ管理DS5.4—ユーザーアカウントの管理

• UNIXサーバー上のアカウントのアクティビティ

• ユーザーアクセスログの定期的なレビュー• ログインの失敗• Windows サーバー上のパスワードの変更

DS5.10—ネットワークセキュリティ • 攻撃を受けたアプリケーション• ホストに拒否されたアクセスポート(ファイアウォール）

• リスクと考えられるファイアウォールトラフィック

DS11.5—バックアップと復元 • NetApp Filersのバックアップエラー


LogLogicを用いたCOBITに基づくITコントロールの例

Control Violation Identified:“pmark”は1/13に解雇されたにも関わらず、システムへのアクセス権の削除が行われていないことが発覚

SOX Control Implemented:PO7.8: 従業員の職務権限の変更、解雇等がある場合には速やかにシステムへのアクセス権及びアカウントを削除しなければならない

◇


Security Breach Identified:解雇されたはずのpmarkがVPN経由で

重要なサーバに土曜日の１AM事に

アクセスしていることを発見。

SOX、PCIにおけるDS5.10 への違反。

Information Leak Identified:pmarkが幾つかのサーバにアクセスした後、重要な情報がYahoo!のフリーメール

アカウントに送信されていたことを発見。

LogLogicを用いたCOBITに基づくITコントロールの例

◇


LogLogic ファミリー

LX510 LX1010 LX2010 ST2010 ST3010

秒間メッセージ処理数 500 1,500 4,000 75,000 75,000

圧縮比 up to 12:1 up to 12:1 up to 12:1 up to 12:1 up to 12:1

ストレージ容量 (raw) 250GB 250GB 2TB (RAID 10) 500GB (RAID 1) 4TB (RAID 5)

ストレージ容量(available) 250GB 250GB 1TB 250GB 3TB

ストレージ保存期間Up to 90 days

(metalogs)Up to 90 days

(metalogs)Up to 90 days

(metalogs)Infinite

(NAS/SAN Support)Infinite

(NAS/SAN Support)

CPU P4 2.8/533 P4 2.8/533 Dual Opteron 250 (2.4Ghz)

Dual Opteron 250 (2.4Ghz)

Dual Opteron 250 (2.4Ghz)

電力 110 watts 110 watts 2x350 watts 2x350 watts 2x350 watts

ケース 1u 1u 2u 2u 2u

ネットワーク1x10/100 1x10/100 1x10/100 1x10/100 1x10/100

1x10/100/1000 1x10/100/1000 2x10/100/1000* 4x10/100/1000* 4x10/100/1000*

Serial port 9-pin serial 9-pin serial 9-pin serial 9-pin serial 9-pin serial

◇


LogLogic 統合ログ管理ソリューションが提供する価値

ビジネス上の価値 (Business Impact)– コンプライアンス上のリスク低減– 企業価値の向上– 収益性の向上（PCIDSSでの事例）

費用削減効果（Financial Impact）– ログ管理システムの統合によるハード・ソフト・保守費用の削減

– 監査対応準備費用の削減（各種レポートの自動生成など）

– 運用・管理負荷軽減による人員再配置

システム運用上の効果 (Operational Impact)– 各種レポートの自動化によるログ管理工数大幅削減

– ITコントロールの効率運用と「見える化」の促進

– 監査対応業務の非定型業務をルーチン化に貢献


F100 Enterprise

業界

金融

主な用途

システム運用

LogLogicシステム導入数

34

管理対象デバイス数

40,000

管理対象イベント数

(年間)

3trn +

ストレージ規模

200TB

ログ保存期間

3yrs

アーキテクチャ

Distrib’

G100 Enterprise 通信機製造コンプライアンス 22 15,000 320bn 120TB 7yrsDistrib’

Medium Enterprise 金融 SOX 8 137 400m 5TB 1yrDistrib’

世界各地で450社以上のユーザー

2 of the top 4 Banks

US & Canada’s Security AgenciesThe World’s Leading Internet Portal

#1 Communications Equipment Provider

#1 Auto Manufacturer

World’s Largest Service Providers


ログマネジメントにおけるリーディングカンパニー

パートナー数 100社以上

市場規模 $350Mから $1Bへ拡大中 (SANS調べ)多くの技術革新（特許取得済）

ワールドワイドの販売・サポート網

2002年設立

売上年300％の成長

従業員数約150人顧客数 450社超

Gartner MQ Leader

LogLabs

Sales offices

HQ

HQ

Magic QuadrantLeader

JAPAN


お問い合わせは

LogLogic Japan株式会社

〒150-0043 東京都渋谷区道玄坂1-12-1渋谷マークシティＷ２２Ｆ

営業部直通 03-4360-5350メール：[email protected]ＵＲＬ： http://www.loglogic.com/jp/

LogLogic Japan サポートラボのメニュー

ＰｏＣ導入前の事前検証

インターネット経由でのデモンストレーション


LogLogic Japan サポートラボ

Firewalls Network Equipment Servers

Management Station

ST3010

•品川区のデータセンター内に設立

•日本語ログ、日本語

対応の検証

•インターネット経由での

デモンストレーション

サイト

•各種カスタマーサポート、

パートナーサポート


LogLogic 4.2iデモンストレーションAutomating Compliance & Mitigating Risk


Disclaimers & Trademarks | No part of this document may be reproduced or transmitted in any form without written permission from LogLogic Inc.Product data has been reviewed for accuracy as of the date of initial publication. Product data is subject to change without notice. Any statements regarding LogLogic’s future direction and intent are subject to change or withdrawal without notice, and represent goals and objectives only.THE INFORMATION PROVIDED IN THIS DOCUMENT IS DISTRIBUTED "AS IS" WITHOUT ANY WARRANTY, EITHER EXPRESS OR IMPLIED. LogLogic EXPRESSLY DISCLAIMS ANY WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE OR NON-INFRINGEMENT. LogLogic products are warranted according to the terms and conditions of the agreements under which they are provided. LogLogic customers are responsible for ensuring their own compliance with legal requirements. It is the customer's sole responsibility to obtain advice of competent legal counsel as to the identification and interpretation of any relevant laws and regulatory requirements that may affect the customer's business and any actions the customer may need to take to comply with such laws. LogLogic is a trademark of LogLogic Inc. LogLogic LX, LogLogic ST, LogLogic Compliance and Control Suites are trademarks of LogLogic Inc.Other company, product, or service names may be trademarks or service marks of others.ITIL® is a Registered Trade Mark, and a Registered Community Trade Mark of the Office of Government Commerce, and is Registered in the U.S. Patent and Trademark Office.COBIT® is a registered trademark of the Information Systems Audit and Control Association and the IT Governance Institute.ISACA® is a Registered Trade mark of The Information Systems Audit and Control Association IT Infrastructure Library® is a Registered Trademark of the Central Computer and Telecommunications Agency which is now part of the Office of Government Commerce.

セキュリティ対策に 有効な統合ログ管理 · 8/14/2008 ·...

Documents

セキュリティ対策に有効な統合ログ管理 · 8/14/2008 ·...