セキュリティ対策に 有効な統合ログ管理 · 8/14/2008 ·...
TRANSCRIPT
LogLogic Confidential 2008年8月14日(木)1
セキュリティ対策に有効な統合ログ管理Automating Compliance & Mitigating Risk
LogLogic Japan 株式会社カントリーマネージャ 池田克彦
e-mail: [email protected]
2008年8月14日(木) 2Confidential |Automating Compliance. Mitigating Risk.
ネットワークの大規模化・複雑化に伴うセキュリティ管理上のリスク
セキュリティ対策は万全・・・・– 情報漏えい対策– 情報改竄・不正アクセス対策– サイトアタック、SQLインジェクション、
どこまでやるの?– 外部 or 内部による不正アクセス
– 人為的な処理ミス
– 災害対策は?
対策セオリー
– 情報の機密性の確保
– 情報の完全性の確保
– 情報の可用性の確保
2008年8月14日(木) 3Confidential |Automating Compliance. Mitigating Risk.
セキュリティ管理におけるログの重要性
ユーザー・システムの
アクティビティ
アプリケーションの利用
顧客のトランザクション
Email BCC
Logon失敗
セキュリティ違反
ファイルのUp/Down Load
クレジットカードデータへのアクセス
情報漏洩
変更/履歴管理
30%
2008年8月14日(木) 4Confidential |Automating Compliance. Mitigating Risk.
ログマネージメントで広がる世界
ログマネージメント
運用コスト削減
システム監視
運用者・管理者操作履歴
セキュリティマネジメント
資産利用履歴の把握
サービス利用履歴の把握
内部統制対応
就労時間の把握
コンプライアンス対応
セキュリティインシデント化
業務のトレース
業務の見える化運用の効率化
セキュリティ対応 資産管理
ガバナンス
出典:日本ヒューレット・パッカード株式会社
クライアント・プリンシパル
CISSP 小熊敬太
講演名:統合ログ管理の重要性について
2008年8月14日(木) 5Confidential |Automating Compliance. Mitigating Risk.
1200台のログサーバーを削減
PCI監査に必要な時間を400時間削減
監査を一度でパス・見える化を促進
一件の調査にかかっていた時間を50時間から2時間弱へ削減
ダウンタイムを大幅に削減
大手流通事業者での統合ログ管理導入効果
ITインフラの簡素化
コンプライアンス対応費用の削減
ITコントロールの実施とレポーティングを自動化
迅速なフォレンジック
サービス稼働率の向上
6ヶ月以下で投資を回収
2008年8月14日(木) 6Confidential |Automating Compliance. Mitigating Risk.
セキュリティ基準 PCIDSS
PCIDSSとは?– Payment Card Industry Data Security Standard– 米国クレジットカード業界の自主規格
– 具体的なセキュリティ基準・対策を明示
日本ではどうなの?– 2008年6月11日改正割賦販売法が国会で成立
– 今後経産省が基準を策定
割賦販売法 第3章の4 クレジットカード番号等の適切な管理等第35条の164 クレジットカード等購入あつせん業者又は立替払い取次ぎ業者は、クレジットカード番号等保有業者(次の各号のいずれかに該当するものをいう。以下同じ)の取り扱うクレジットカード番
号等の適切な管理が図られるよう、経済産業省令で定める基準に従い、クレジットカード番号等保有業者に対する必要な指導その他の措置を講じなければならない。
2008年8月14日(木) 7Confidential |Automating Compliance. Mitigating Risk.
Oracleデータベースログイン• DB2データベースログイン
8.5.16—認証データベース
• サーバー上でエスカレーションがかかったログオン• ログイン失敗• サーバーへのアクセス失敗• 定期的なログレポートのレビュー
10.2.3—アクセスログ監査証跡
• 攻撃されたアプリケーション• 攻撃元
11.4—IDS/IPS利用
• Tripwire 変更・追加・削除11.5—ファイルの完全性モニタリング
• Windowsアカウントのロック8.5.13—アカウントロックアウト
PCI 要求事項 Sample Reports and Alerts (LogLogic)
8.5.1—ユーザーID管理のコントロール • サーバー上でのアカウントの活動• Windowsサーバーの変更承認
• アカウント作成・削除
8.5.5—共有アカウントの使用禁止 • ルート・アドミニストレーターのログイン
8.5.9— 低90日でのユーザーアクセスの変更 • Windowsサーバーのパスワード変更• Microsoft SQLサーバーのパスワード変更
PCI DSS セキュリティ運用管理事例
2008年8月14日(木) 8Confidential |Automating Compliance. Mitigating Risk.
Alert policy: risky firewall access
アラートダッシュボード
ネットワークポリジーアラート:ファイアウォールはポート21経由のアクセスを許可している(PCI基準に違反)
危険な接続を表示
PCI利用事例: Firewall Policy アラート
2008年8月14日(木) 9Confidential |Automating Compliance. Mitigating Risk.
統合ログ管理 ニーズの急激な増大
必要なデバイス
セキュリティセキュリティ コンプライアンスコンプライアンス リスク管理リスク管理
200720072006200620042004
市場の牽引要素
20052005
ホスト、プロキシ、アプリケーションログ管理の必要性が急激に高まっている。
エンタープライズソフトウェアはほとんどがカスタマイズされている。
IDS/IPS Firewalls VPN Win/LinuxServers
ProxyServers
RAS Servers
E-MailServers
AS400OS390
EnterpriseSoftware
DatabaseSoftware
従来のログ管理
統合ログ管理
ログ
容量
MRR
2008年8月14日(木) 10Confidential |Automating Compliance. Mitigating Risk.
ログ管理はすでに必須要素(システム運用管理から各種法規則対応まで)
PCIHIPAANIST
SLA Validationトラブルシューティング調査フォレンジックログデータウェアハウス
NISTITILCoBit
ISOjCoBit各種情報資産の保護
• J-SOX• GLBA• SOX • FISMA
Lose
Cus
tomers
Get F
ined
Go To
Jail
Lose
Job
法規制
業界必須
セキュリティ上要望
運用管理のバリデーション
IT運用管理の基盤
ビジネスプロセス管理
2008年8月14日(木) 11Confidential |Automating Compliance. Mitigating Risk.
問題点:システム毎に分断されたログ管理
ログを発生する多くのデバイスが管理から漏れている (独自開発したアプリケーションを含む)
低い信頼性
自動化が遅れておりログ管理担当者の手作業に依存
ログデータの保存・処理作業等が不要に重複
ログデータの改ざん・紛失を許す可能性のある管理体系
コンプライアンス対応に疑問
ログ分析に多大の時間を要し、リスクへの対応に遅れ
ネットワーク サーバー データベース 社内開発
アプリ
今日の混乱した全社規模のログ管理
LogSilo
???????????
????
??????
??????
????
??? ?
??????
LOGS? ?
????
?????
??ユーザーID管理者
IT・ネットワーク運用者
セキュリティ運用者
IT統制・コンプライアンス担当者
LogTool
Log Jam
2008年8月14日(木) 12Confidential |Automating Compliance. Mitigating Risk.
ログは取るだけでは不十分・ライフサイクルで活用
2008年8月14日(木) 13Confidential |Automating Compliance. Mitigating Risk.
コンプライアンス対応:ログ管理における高い拡張性、処理性能を持つ専用プラットーフォーム
Log Management Data Warehouse™ 構築により分断されたログ管理を統合
ログライフサイクル管理の自動化
ログ及びログ分析結果の共有を可能にするOpen Log Services™各ログ運用者の権限を個別に設定し安全な運用が可能
外部の大規模ストレージに対応
ノンストップ運用
リアルタイムでのアラート・分析
LogLogic LMDW
LogLogic導入によるログ管理データウェアハウス構築(Log Management Data Warehouse : LMDW)
ネットワーク サーバー データベース 社内開発
アプリ
ユーザーID管理者
IT・ネットワーク運用者
セキュリティ運用者
IT統制・コンプライアンス担当者
2008年8月14日(木) 14Confidential |Automating Compliance. Mitigating Risk.
製品概要
専用アプライアンスとしてご提供– インストール、設定が容易
– パフォーマンスを保証
– メンテナンスが容易
2種類のアプライアンス– LXシリーズ
– 90日分のログを内蔵データベースに保持、ログ収集、アラート、レポート機能を実現
– STシリーズ
– より高速なログ収集、生ログのアーカイブ及び高速検索を実現
2008年8月14日(木) 15Confidential |Automating Compliance. Mitigating Risk.
LX 510500 – 4,000 メッセージ/秒の収集能力
2TBのストレージ内蔵
完全なログのライフサイクル管理を実現
“Very Good” Excellent!
3,000 – 75,000+ メッセージ/秒の収集能力
内蔵ストレージに 大34TBのログを安全に保管
多くのNAS、SAN、WORM等の外部ストレージ
システムとの接続性を保証
世界 速のログ検索
Excellent!
10種類以上の主要運用規則へのコンプライアンス
の為に500以上のレポート・アラートを準備
デフォルトで搭載する24種類のレポートテンプレート
を用いることにより、15,000種類のレポートを
作成可能
ガイドブック、ベストプラクティス
ISO17799PCISOX & COBIT 4
HIPAAITIL FISMA
LX 1010
LX 2010
ST 2010
ST 3010
業界をリードするログライフサイクル管理ソリューション
2008年8月14日(木) 16Confidential |Automating Compliance. Mitigating Risk.
LXシリーズ
LX 2010– 4000メッセージ/秒で継続的にログ収集可能
(20,000 メッセージ/秒までのバーストに対応)– CPUを2つ、RAID5対応ディスクを搭載した2Uサイズのアプライアンス– 二重化電源– ネットワークI/Fを複数搭載 (2x1000/100/10 & 100/10)– ネットワーク断、システム故障に対応したフェイルオーバー機能
LX 1010– 1500メッセージ/秒で継続的にログ収集可能
(7,500 メッセージ/秒までバースト対応)– 1Uサイズのアプライアンス– ネットワークI/Fを2個搭載 (1000/100/10 & 100/10)– ネットワーク断、システム故障に対応したフェイルオーバー機能
LX 510– 500メッセージ/秒でログ収集可能– 1Uサイズのアプライアンス– ネットワークI/Fを2個搭載 (1000/100/10 & 100/10)– 小規模リモート拠点への配置に 適
2008年8月14日(木) 17Confidential |Automating Compliance. Mitigating Risk.
ST シリーズ
ST 3010– 75,000メッセージ/秒で継続的にログ収集可能
– 3Uサイズのアプライアンス、CPU2個、二重化電源搭載
– HA対応高性能ディスク、ミラーOS、スペアディスク付RAID5対応
– 生ログ圧縮しMD5ハッシュ値と共に安全に保管
ST 2010– 75,000メッセージ/秒で継続的にログ収集可能
– 2Uサイズのアプライアンス、CPU2個、250GBディスク二台(RAID1構成)搭載
– NAS、WORM等の外部ストレージシステムにマウント可能
– 生ログ圧縮しMD5ハッシュ値と共に安全に保管
2008年8月14日(木) 18Confidential |Automating Compliance. Mitigating Risk.
LogLogic ソリューションの特長・競合優位点
オープンなプラットフォーム
スケーラブルなアーキテクチャと大規模構築実績
クラスタ構成が可能な高可用性
柔軟なレポート機能と豊富なテンプレート集
高速大容量 ログ収集・検索 性能
LogLogic が提供する価値
2008年8月14日(木) 19Confidential |Automating Compliance. Mitigating Risk.
オープンなログインターフェースダッシュボードやポータルの作成が容易に
Application
Logs
System
Logs
Network
Logs
Log Sources Data Sources
OperationsCXOs Auditors
◇
2008年8月14日(木) 20Confidential |Automating Compliance. Mitigating Risk.
スモールスタートが可能な構成
ログ収集デバイスを限定して開始
短時間のインストールでログ収集開始、レポートも可能
対象デバイスの100%の
ログデータを収集
多角的なログ分析が可能に
– 構造解析、インデックス、データ分類、アラートを実行
分析に手間がかからない
– カスタマイズや、スクリプトの作成、デバイスのサポート待ちなどの手間がかからない
オープンなログサービスを提供: SOA
本社の監査対象に導入
LX 1010 or LX 2010System
Applications Databases Servers Network
2008年8月14日(木) 21Confidential |Automating Compliance. Mitigating Risk.
ログデータウェアハウスソリューション
秒間 75,000 メッセージのログ収集能力
確立したログストレージ
– 大38TBの生ログをST1台で
保存可能
– 改竄不可能な状態でログデータを大量・安全に保存可能
リアルタイム分析&ヒストリカルな分析環境を提供
– 閾値によるアラート設定
– ユーザーアクティビティの細部にわたるドリルダウン
– フォレンジック調査のためのログ情報の検索、リプレイ
本社部門
LX 1010 orLX 2010System
Raw Log TransferST 3010 SystemRaw Logs
Applications Databases Servers Network
2008年8月14日(木) 22Confidential |Automating Compliance. Mitigating Risk.
London
Disaster Recovery Site
業界 高クラスのスケーラビリティ
EncryptionAppliance
Main Data Center
EncryptedRaw Logs
Regional Branch
Tokyo
HomegrownApplications
Databases
Servers
Network
NASSAN
SOX
◇
2008年8月14日(木) 23Confidential |Automating Compliance. Mitigating Risk.
F100 Enterprise
IndustrySector
Financial
PrimaryDriver
Ops
LogLogicSystems
34
DevicesMonitored
40,000
Events(Annually)
3trn +
StorageVolume
200tb
StoragePeriod
3yrs
Architecture
Distrib’
大手米国金融機関でのHA導入例US本社コアデータセンタ
Cisco PIXFirewalls
Check PointFirewalls
Routers &Switches
VPN Systems
Daily SCP Back-up
NAS / SANStorage
Sun SCPServer
Management Station
◇
2008年8月14日(木) 24Confidential |Automating Compliance. Mitigating Risk.
レポート例: COBIT/SOXコンプライアンススイート
COBIT Control Objective Sample Reports and Alerts
PO7.8—職責の変更及び解雇 • Windowsサーバーへのアカウントの削除・追加
• サーバー上のアカウントアクティビティ• Windowsサーバーの変更許可
• ログインの成功
AI6.1—変更の標準と手続き • Windowsサーバーのリブート
• システムのリブート• データベース構成変更• Cisco PIX フェールオーバーの実行
DS5.3—ID管理DS5.4—ユーザーアカウントの管理
• UNIXサーバー上のアカウントのアクティビティ
• ユーザーアクセスログの定期的なレビュー• ログインの失敗• Windows サーバー上のパスワードの変更
DS5.10—ネットワークセキュリティ • 攻撃を受けたアプリケーション• ホストに拒否されたアクセスポート(ファイアウォール)
• リスクと考えられるファイアウォールトラフィック
DS11.5—バックアップと復元 • NetApp Filersのバックアップエラー
2008年8月14日(木) 25Confidential |Automating Compliance. Mitigating Risk.
LogLogicを用いたCOBITに基づくITコントロールの例
Control Violation Identified:“pmark”は1/13に解雇されたにも関わらず、システムへのアクセス権の削除が行われていないことが発覚
SOX Control Implemented:PO7.8: 従業員の職務権限の変更、解雇等がある場合には速やかにシステムへのアクセス権及びアカウントを削除しなければならない
◇
2008年8月14日(木) 26Confidential |Automating Compliance. Mitigating Risk.
Security Breach Identified:解雇されたはずのpmarkがVPN経由で
重要なサーバに土曜日の1AM事に
アクセスしていることを発見。
SOX、PCIにおけるDS5.10 への違反。
Information Leak Identified:pmarkが幾つかのサーバにアクセスした後、重要な情報がYahoo!のフリーメール
アカウントに送信されていたことを発見。
LogLogicを用いたCOBITに基づくITコントロールの例
◇
2008年8月14日(木) 27Confidential |Automating Compliance. Mitigating Risk.
LogLogic ファミリー
LX510 LX1010 LX2010 ST2010 ST3010
秒間メッセージ処理数 500 1,500 4,000 75,000 75,000
圧縮比 up to 12:1 up to 12:1 up to 12:1 up to 12:1 up to 12:1
ストレージ容量 (raw) 250GB 250GB 2TB (RAID 10) 500GB (RAID 1) 4TB (RAID 5)
ストレージ容量(available) 250GB 250GB 1TB 250GB 3TB
ストレージ保存期間Up to 90 days
(metalogs)Up to 90 days
(metalogs)Up to 90 days
(metalogs)Infinite
(NAS/SAN Support)Infinite
(NAS/SAN Support)
CPU P4 2.8/533 P4 2.8/533 Dual Opteron 250 (2.4Ghz)
Dual Opteron 250 (2.4Ghz)
Dual Opteron 250 (2.4Ghz)
電力 110 watts 110 watts 2x350 watts 2x350 watts 2x350 watts
ケース 1u 1u 2u 2u 2u
ネットワーク1x10/100 1x10/100 1x10/100 1x10/100 1x10/100
1x10/100/1000 1x10/100/1000 2x10/100/1000* 4x10/100/1000* 4x10/100/1000*
Serial port 9-pin serial 9-pin serial 9-pin serial 9-pin serial 9-pin serial
◇
2008年8月14日(木) 28Confidential |Automating Compliance. Mitigating Risk.
LogLogic 統合ログ管理ソリューションが提供する価値
ビジネス上の価値 (Business Impact)– コンプライアンス上のリスク低減– 企業価値の向上– 収益性の向上(PCIDSSでの事例)
費用削減効果(Financial Impact)– ログ管理システムの統合によるハード・ソフト・保守費用の削減
– 監査対応準備費用の削減(各種レポートの自動生成など)
– 運用・管理負荷軽減による人員再配置
システム運用上の効果 (Operational Impact)– 各種レポートの自動化によるログ管理工数大幅削減
– ITコントロールの効率運用と「見える化」の促進
– 監査対応業務の非定型業務をルーチン化に貢献
2008年8月14日(木) 29Confidential |Automating Compliance. Mitigating Risk.
F100 Enterprise
業界
金融
主な用途
システム運用
LogLogicシステム導入数
34
管理対象デバイス数
40,000
管理対象イベント数
(年間)
3trn +
ストレージ規模
200TB
ログ保存期間
3yrs
アーキテクチャ
Distrib’
G100 Enterprise 通信機製造 コンプライアンス 22 15,000 320bn 120TB 7yrsDistrib’
Medium Enterprise 金融 SOX 8 137 400m 5TB 1yrDistrib’
世界各地で450社以上のユーザー
2 of the top 4 Banks
US & Canada’s Security AgenciesThe World’s Leading Internet Portal
#1 Communications Equipment Provider
#1 Auto Manufacturer
World’s Largest Service Providers
2008年8月14日(木) 30Confidential |Automating Compliance. Mitigating Risk.
ログマネジメントにおけるリーディングカンパニー
パートナー数 100社以上
市場規模 $350Mから $1Bへ拡大中 (SANS調べ)多くの技術革新(特許取得済)
ワールドワイドの販売・サポート網
2002年設立
売上 年300%の成長
従業員数 約150人顧客数 450社超
Gartner MQ Leader
LogLabs
Sales offices
HQ
HQ
Magic QuadrantLeader
JAPAN
2008年8月14日(木) 31Confidential |Automating Compliance. Mitigating Risk.
お問い合わせは
LogLogic Japan株式会社
〒150-0043 東京都渋谷区道玄坂1-12-1渋谷マークシティ W22F
営業部直通 03-4360-5350メール:[email protected]URL: http://www.loglogic.com/jp/
LogLogic Japan サポートラボのメニュー
PoC 導入前の事前検証
インターネット経由でのデモンストレーション
2008年8月14日(木) 32Confidential |Automating Compliance. Mitigating Risk.
LogLogic Japan サポートラボ
Firewalls Network Equipment Servers
Management Station
ST3010
•品川区のデータセンター内に設立
•日本語ログ、日本語
対応の検証
•インターネット経由での
デモンストレーション
サイト
•各種カスタマーサポート、
パートナーサポート
LogLogic Confidential 2008年8月14日(木)33
LogLogic 4.2iデモンストレーションAutomating Compliance & Mitigating Risk
LogLogic Confidential 2008年8月14日(木)34
Disclaimers & Trademarks | No part of this document may be reproduced or transmitted in any form without written permission from LogLogic Inc.Product data has been reviewed for accuracy as of the date of initial publication. Product data is subject to change without notice. Any statements regarding LogLogic’s future direction and intent are subject to change or withdrawal without notice, and represent goals and objectives only.THE INFORMATION PROVIDED IN THIS DOCUMENT IS DISTRIBUTED "AS IS" WITHOUT ANY WARRANTY, EITHER EXPRESS OR IMPLIED. LogLogic EXPRESSLY DISCLAIMS ANY WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE OR NON-INFRINGEMENT. LogLogic products are warranted according to the terms and conditions of the agreements under which they are provided. LogLogic customers are responsible for ensuring their own compliance with legal requirements. It is the customer's sole responsibility to obtain advice of competent legal counsel as to the identification and interpretation of any relevant laws and regulatory requirements that may affect the customer's business and any actions the customer may need to take to comply with such laws. LogLogic is a trademark of LogLogic Inc. LogLogic LX, LogLogic ST, LogLogic Compliance and Control Suites are trademarks of LogLogic Inc.Other company, product, or service names may be trademarks or service marks of others.ITIL® is a Registered Trade Mark, and a Registered Community Trade Mark of the Office of Government Commerce, and is Registered in the U.S. Patent and Trademark Office.COBIT® is a registered trademark of the Information Systems Audit and Control Association and the IT Governance Institute.ISACA® is a Registered Trade mark of The Information Systems Audit and Control Association IT Infrastructure Library® is a Registered Trademark of the Central Computer and Telecommunications Agency which is now part of the Office of Government Commerce.