サイバー攻撃や内部不正などの調査ではログが手掛かりになるため、ログ管理製品の導入が注目を集める。製品形態ごとの実装パターンや価格などをIPAが取りまとめた。
情報処理推進機構(IPA)は6月9日、「企業における情報システムのログ管理に関する実態調査」の報告書を公開した。サイバー攻撃や内部不正などの重大インシデントの調査ではログが手掛かりなることから、ログ管理製品の適用や価格などの実態を調べている。
調査ではベンダーやサービス事業者20社とユーザー企業11社、有識者3人にインタビューを行い、ログの利用目的に応じた製品の適用の可否や、ログの活用ステージごとに必要となる製品の構成と導入価格といった実態を明らかにした。
例えば、標的型攻撃を原因とする情報漏えいでインターネットと社内システム間の不審な通信を検知しようとする場合、報告書で分類した4種類のログ管理製品全てを適用できるという。一方、リアルタイム性の高い検知にはSIEMが向いており、USBメモリなどによる情報の持ち出しの検知ではホスト実装型の製品が適しているとした。
また、インシデントの原因究明を目的にログを収集・蓄積する初期ステージでは、システム構成が既存システムを利用したり、ログ管理サーバを導入したりする。その導入費用は概算で数十万円ほどから可能としている。一方、自社でインシデントを監視する場合はSIEMが必要になり、導入には700万円以上を要するとした。
標的サイバー攻撃や内部不正などでは巧妙な手口が多用されるため、セキュリティ製品での検知や防御が難しいとされる。このため、企業や組織ではシステムやネットワークのさまざまなログを分析することで検知を試みる方法が注目されている。
ただ、分析対象とするログの種類や期間、データ量などは目的によってケースバイケースとなり、そのための製品も異なる。IPAでは調査報告書をインシデントに備えた適切なログ管理に役立ててほしいと説明している。
Copyright © ITmedia, Inc. All Rights Reserved.