インシデント調査に欠かせないログ管理、製品の相場観は?
サイバー攻撃や内部不正などの調査ではログが手掛かりになるため、ログ管理製品の導入が注目を集める。製品形態ごとの実装パターンや価格などをIPAが取りまとめた。
情報処理推進機構(IPA)は6月9日、「企業における情報システムのログ管理に関する実態調査」の報告書を公開した。サイバー攻撃や内部不正などの重大インシデントの調査ではログが手掛かりなることから、ログ管理製品の適用や価格などの実態を調べている。
調査ではベンダーやサービス事業者20社とユーザー企業11社、有識者3人にインタビューを行い、ログの利用目的に応じた製品の適用の可否や、ログの活用ステージごとに必要となる製品の構成と導入価格といった実態を明らかにした。
例えば、標的型攻撃を原因とする情報漏えいでインターネットと社内システム間の不審な通信を検知しようとする場合、報告書で分類した4種類のログ管理製品全てを適用できるという。一方、リアルタイム性の高い検知にはSIEMが向いており、USBメモリなどによる情報の持ち出しの検知ではホスト実装型の製品が適しているとした。
また、インシデントの原因究明を目的にログを収集・蓄積する初期ステージでは、システム構成が既存システムを利用したり、ログ管理サーバを導入したりする。その導入費用は概算で数十万円ほどから可能としている。一方、自社でインシデントを監視する場合はSIEMが必要になり、導入には700万円以上を要するとした。
標的サイバー攻撃や内部不正などでは巧妙な手口が多用されるため、セキュリティ製品での検知や防御が難しいとされる。このため、企業や組織ではシステムやネットワークのさまざまなログを分析することで検知を試みる方法が注目されている。
ただ、分析対象とするログの種類や期間、データ量などは目的によってケースバイケースとなり、そのための製品も異なる。IPAでは調査報告書をインシデントに備えた適切なログ管理に役立ててほしいと説明している。
関連記事
- 標的型攻撃対策が困難に ファイアウォールやSIEMを逃れる手口も
国内企業や組織への標的型サイバー攻撃ではセキュリティ製品の検知を逃れる手口が幾つも見つかった。分析したトレンドマイクロは「自前での対策は限界にある」と指摘する。 - 産総研、サイバー攻撃などを検知するSIEMを導入へ
マカフィーのSIEMシステムを導入、ソフトバンク・テクノロジーが運用する。 - ログの相関分析でセキュリティ脅威を可視化、IBMが「QRadar」を発表
さまざまなログの相関関係を分析してセキュリティインシデントの発生をユーザーに警告する新たな仕組みを提供する。 - ビッグデータ分析から読み解く日本企業のセキュリティ脅威
標的型サイバー攻撃の新たな対策の1つとして、システムの大量ログの分析から攻撃を発見する「SIEM」が注目されている。毎日200億ものログを分析しているというIBMがまとめた報告書から、日本企業を狙う脅威状況を探ってみたい。 - 特集:脅威に負けない我が社のセキュリティ強化大作戦
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.