想定外のパスワード変更やログイン履歴も監視　人の“不自然な振る舞い”を検知する、サイバーセキュリティ対策の最前線

ログを一元管理し、自動収集するのは意外と難しい

佐久間貴氏：今までログの話をたくさんしてきたので、「じゃあログを簡単に集めればいいじゃないか」という話になると思うんですけども、ログを集めるのはそう簡単ではないんですね。

例えば、ネットワーク機器のログやファイルサーバのログなど、それぞれに出てはいるんですけど、それらを一元管理して自動で収集して管理するのは意外と難しいです。我々網屋では、「ALog」というパッケージを販売していますが、このALogを使うとサイバー攻撃や内部不正の対策ができます。

また、ログを見た時にルールベースで判断していくことが非常に大事なんですけども、今は働き方が多様化していたり、ファイルにいろいろアクセスして、誰がいつ何をしているのかを把握することが難しくなっています。ALogにはAIが実装されていますので、ふだんとは違うユーザーの行動を自動で検知することができます。

それに加えて、サイバー攻撃とちょっと色は違うかもしれないんですけども、働き方改革という観点でも、誰がいつパソコンにログオンしたのかがログで出ているので、それらを収集することで勤怠ログもしっかり把握できます。

それによって、どのぐらい働いているのか、どのぐらい残業しているのか、テレワークでちゃんと働いているのかといったこともわかります。

ちょっと細かい話になりますが、ALogの収集対象はこれだけあります。簡単に言うと、ログを出しているあらゆる機器のデータを収集することが可能です。ファイルサーバやアプリケーションサーバ、今話題の認証系のActive Directoryのサーバなどもしっかりログを取ることで、ファイルアクセスや認証、誰がいつログオンしているのかもわかります。

そして、テレワークやクラウドシフトでだいぶ増えている、MS365やBoxといったクラウドサービスのログも収集できます。

15年連続シェアナンバーワンの「ログ管理ツール」

では、このネットワークに対する接続はどうなっているのかということで、ネットワーク機器のログを収集することも非常に大事ですし、みなさんの各端末やクライアントのログもしっかり収集します。

これらをまるっとすべてALogで一元管理することが非常に重要です。それによって、サイバー攻撃や内部不正対策、クラウドサービスの監査、テレワーク環境の行動履歴をしっかり把握することが可能になります。

ALogは、おかげさまで15年連続ナンバーワンということで、多種多様な業種で選ばれ続けて、69.2パーセント、7割弱の圧倒的シェアを取らせていただいています。

主な導入企業のうち、公開できる企業さんとしては、製造業や金融系、キャリア、自動車といったところで多く使われている製品になっております。

ALogはずっとパッケージとして販売してきたんですが、前段のお話にもあった通り、クラウドシフトが大幅に進んでいる中で、我々もALogとしてついにSaaSをリリースすることになりました。2022年12月にALog Cloudをリリースする予定です。

ALog Cloudについて簡単にお話しします。オンプレからクラウドまでログを簡単に自動収集して変換するのはALogのもともとの機能なんですが、何が今までと変わっていくのか。

これは本当にクラウドサービスの典型ですが、今までのALogは、境界防御の資産が社内にあるという前提で、外につながずにオンプレで社内にサーバーを置いて収集するのがスタンダードであり、むしろセキュアだったということでやってきました。

今はサービスが外に出たり、データがあちこちに点在しているということもありまして、ALogサーバー自体をオンプレで作るのも手間だったり、ムダだというところも出てきています。

我々は、クラウドのメリットを十分に活かしてALog Cloudというかたちで、早くスムーズにALogのログ収集をスタートできるサービスをリリースしております。

進化した「ALogクラウド」の4つのメリット

「ALog Cloudのメリット」ということで掲げています。設計不要で最適なログ管理をすぐスタートできますと言うと、先ほどの通りなんですけども。まずALogの管理については、これはSaaSですので、そもそもサーバーを立ててインストール作業をする必要がありません。すぐにサービスを使い始めることができます。

メンテナンスも、今まではオンプレだったので、どうしてもユーザーさんにお願いして、「自分たちで見てくださいね」というかたちになってしまったんですけども。今度はSaaSになっていますので、アップデートもできますし、メンテナンスもこちらで自動でやっていけると。

さらに、新機能も今まではパッチのように新しいバージョンを展開していたんですけども、これも自動でアップロードできるようになっていますので、お客さまは気にせず新しい機能がすぐ使えるようになります。

セキュリティ対策についても、我々のほうで必要かつ最適なセキュリティ対策をしっかり構築しますので、お客さまは負担なく安心して使えるような環境が提供できます。

あとはコスト部分も、今までは「収集対象が何個だからいくら」「設定していくら」というかたちで費用がかかっていくものが多かったんですが、今度からはシンプルにログ量に応じた価格設定ということで、ログ量を調整しながら価格設定をして、トータルコストを削減できます。こういったことが、ALogクラウドのメリット4つとなっています。

見にくいログも行単位で出せる「翻訳技術」が強み

大きく変わったところは今の部分ですが、ALogの特徴、強みはもちろんそのまま残しています。先ほどはあまり触れませんでしたが、例えばALogの翻訳技術は、15年連続で1位だったポイントの1つです。見にくいログを行単位で翻訳できることが我々の一番の強みになっています。

上が「いつ誰がどのファイルに何をしたか」を表す生ログです。1操作すると、これが20行とかばっと出てきちゃうのがWindows Serverなどのログなんですけども。ALogを通すと、いつ誰がどのファイルに何をしたかを1行で出せます。この翻訳エンジンは、もちろんALog Cloudにもそのまま活かされております。

加えて、AIによるスコアリングも付いているんですが、オンプレサーバーの中で動くAIにはやはり限界があり、性能的に制限して作っていたところがあります。

それがクラウドになったことで、我々の持っているAIの技術をフルに活かすことができます。ここも強化していくポイントになっています。「特徴をそのままに」と言うよりも、特徴をさらに拡大するというポイントになるかと思います。

右はレポートパックですが、もともとALogでは製品を入れて何をどうやってログで検知しているのかわからないというお客さまが多かったので、ご提供していたものです。

これもオンプレの環境ではお客さまがダウンロードして、ご自身でセットして使えるようにしていただいていたんですが、クラウドになったことで自動で付帯もできますし、新しいレポートパックができても、そのまま反映できる。

そういったクラウドの機能を活かしつつ、特徴を残してしっかりシナジーを出していけるのがALog Cloudです。

クラウドならではの新機能の利点

さらに新機能として、「圧倒的な速度を誇る検索エンジン」とあります。今までの検索はオンプレの仕組みでやっていくという限界がありましたが、新しいALog Cloudは、並列処理で検索量が増えても速度を落とさずにしっかり検索できます。

また、検索だけじゃなくて直観的な検索インターフェースということで、検索速度だけが早くても見にくければ、結局結果にはたどり着かない。それを改善するべく、直観的な検索インターフェースで探したいログやキーワードを打てば、すぐに検索して返ってくると。

これも並列処理なので、ログ量が増えても速度は変わらないというポイントがあったり、スキーマを意識せずに検索したいワードを、本当に直観的に打つだけですぐ検索できます。ALog Cloudでは、こういった機能を実装しています。

次にニアリアルタイムの翻訳変換ということで、いつ何が起きたのか、ログデータが入力されたタイミングですぐに並列処理で翻訳することが可能です。大容量で膨大なログデータでもリソースを気にすることなく、ほぼリアルタイムで運用することが可能になっています。

これも今までは、受け取ったログデータを順番に処理していく際に、収集タイミングや変換タイミングを設定する必要がありました。新しいクラウドでは全部並列処理で、リアルタイムに近いような状況で、収集・分析してレポート・アラートを上げていく機能が実装されております。

もう1つ、フォーマットの再変換が可能になりました。オンプレである以上、ログのファイルサーバーやファイル容量の限界があったので、しっかり変換した結果を格納するかたちを取っていました。

クラウドサービスなんかは特にそうなんですけど、今はフォーマットが勝手に変わることもあります。そういったフォーマットの変換があった時でも、検索で空振りしないように、取り込んだログをそのまま残しておきます。

取り込んだログに対してマッピングして表示するかたちを取っていますので、今までのログも、これから多様化するクラウドサービスのログのバージョンアップやアップデートに対する翻訳も簡単になります。

マッピングも保存したログを取り込んで変換して活用できるので、このフォーマット再変換は生ログをそのまま保管するのと等しいです。こういうものは、サイバー攻撃の分析・調査にも活用できる、非常に大きなポイントになっています。

マニュアル不要のUIに、強固なセキュリティ機能

4つ目が「クラウドサービスログの連携」です。もともとALogのオンプレでも、クラウドサービスのログは収集できていたんですが、今度はCloud-to-Cloudで、ALogのクラウドからそのままダイレクトにクラウドサービスのログを収集できます。

今まではプラグインを設定して収集対象をセットしていたんですけども、今度のクラウドは、専用のプラグインをワンクリックで選択するだけでログの収集が開始できます。そういった、手軽にクラウドサービスのログを収集できる機能も付いております。

次に「UIデザインの一新」ということで、今までのデザインも評判は非常に高かったんですけども、さらにユニバーサルデザインに準拠したデザインに変更しました。マニュアルなしで操作できるという売りをさらに昇華して、まったくマニュアルを見なくても操作できるようなUIに大きく変更しております。

最後に「強固なセキュリティでデータを保護」ということで、機密情報を含むログデータを保護するには、豊富なセキュリティ強化が必要になります。我々の新しいALog Cloudはしっかりとセキュリティ強化機能を実装して、マネジメント体制を整備することが可能です。

例えば「セキュリティ機能」については、IPアドレスの制限や二要素認証ですね。認証の要素を増やしたり、暗号化通信も行っています。ログを収集してデータを暗号化するといった、セキュリティに必要な部分は実装しておりますので、安心して使っていただけるのではないかなと思っております。

人もノウハウもない企業も「ログ活用」が可能に

「ALog Cloudを使って何が変革できるのか」を説明したいと思います。掲題にも「人材不足と進まないログ活用」とあります。

「ログをどれだけ有効活用しているのか」というアンケートを採ったところ、ALogの導入の有無にかかわらず、有効活用できているお客さまは半分ほどで、「収集はしているけど、有効活用できていないよ」というお客さまがもう半分でした。ログ活用が進んでいない状況だと感じています。

なぜ有効活用できていないのかと言うと、「情報セキュリティ人材の不足数推計」とありますが、これはIT業界に限らず世の中で騒がれていますが、人材が圧倒的に足りていない状況です。

加えて、特にセキュリティ人材が足りないこともあり、技術も人もいないということで、ログの活用自体ができないのが現状です。

そこで、人やノウハウがないといった課題に対するALogの運用サービスをリリースしています。それがALogのマネジメントサービスです。ALog Cloudでデータ収集して分析するのは既存の機能ですが、集めたログをしっかり運用をしていくためのサービスを新しくリリースします。

これはログを監視して、分析して、きちんと取りまとめて「こういうことがありました」という報告を、我々のほうで代行させていただきます。それ以外にも、新しく機器を追加したり設定を変えていくといったところを含めて、我々がセキュリティ運用を代行するサービスをリリースします。

人の“不自然な振る舞い”を監視する機能

このサービスの特徴は、「人の振る舞いも監視項目にします」ということです。

SOC（Security Operation Center：サイバー攻撃の検知や分析を行い、その対策を講じることを専門とする組織）で、ネットワーク機器などが出力するセキュリティアラートログを監視するというのが一般的になっていますが、アラートログの監視とそれがセキュリティ上問題ないかという分析は非常に有効な対策と言えます。意外とセキュリティ機器を導入してそのまま放置してしまっている企業が多いので、そのアラートの分析の部分を対応するのが、ALogのマネジメントサービスになります。

それ以外にも、今UEBA（User and Entity Behavior Analytics：ネットワーク上のトラフィックパターンから異常な行動を検出するサイバーセキュリティ）と言われるものがあります。人の振る舞いをきちんと監視して、おかしいものを見つけることが重要になっています。

例えば、想定していなかったクラウドの利用や、ADサーバーへのログオンでやたら失敗している人はおかしいんじゃないかということですね。こういったものを監視していると、外部の攻撃かもしれないという分析ができます。

他にも、想定外のパスワードの変更履歴はきちんと監視しておくべきですね。想定しないログイン履歴も勤怠と対比して、「この時間にログインするのはおかしいんじゃないか」といったものを検出する。

人の振る舞いとしておかしいものをしっかり監視していくことが、今のセキュリティのトレンドとして非常に重要になっています。

また、セキュリティスペシャリストがお客さまに代わって対応しますよということについて。お客さま自らが運用される場合、セキュリティ人材はもちろん不足していますので、アラートの調査・分析にも非常に苦労されています。月20時間かかると書いてあるんですけれども。

実際、セキュリティ人材が不足していたら分析もできませんし、IT技術者ががんばって月20時間だと思うので、セキュリティのスキルがないと、たぶん一生終わらないです。

我々のノウハウを持った専門チームがしっかり運用代行するので、ご安心いただけますし、何かあった時の分析や報告書の作成も非常に短い時間でできます。これがプロに任せることの一番のポイントになるかと思います。

以上で私のセッションを終わります。ご興味を持っていただけましたら、こちらまでご連絡いただければと思います。

ご清聴ありがとうございました。