ログから始めるクラウド運用のポイント2017/06/28 · infoscience corporation...

Infoscience Corporationwww.infoscience.co.jp

[email protected]

Tel: 03-5427-3503 Fax: 03-5427-3889

ログから始めるクラウド運用のポイント

インフォサイエンス株式会社

プロダクト事業部

2017/06/28

Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.

インフォサイエンス株式会社概要

2

設立

1995年10月

代表者宮紀雄

事業内容

•パッケージソフトウェア

「Logstorage」シリーズの開発

•データセンタ運営

•受託システム開発サービス

•包括システム運用サービス

所在地

東京都港区芝浦2丁目4番1号

インフォサイエンスビル



1. ログ管理の目的

2. Logstorage 製品ラインナップご紹介

3. クラウド運用の課題

4. クラウドログ管理の課題と解決

5. 事例ご紹介

3


システムへの脅威

ログ管理の目的

4

様々なルールや脅威への対応のために、ログの管理が行われている

個人情報保護法

ISO27001/ISMS国際ペイメントブランド/PCI DSS

APT/標的型攻撃内部犯行による情報漏えいサイバー犯罪捜査

金融商品取引法

マイナンバー/番号法

法令／ガイドライン

「ログ」の管理・モニタリングは、今や情報セキュリティの中心的な対策となっている

経産省/クラウドセキュリティガイドライン


経産省クラウドセキュリティガイドライン

5

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

経済産業省から2013年改訂版が公開「このガイドラインの利活用によって，クラウド利用者がクラウドコンピューティングの利用にあった情報セキュリティ対策を実施し，クラウドコンピューティングの活用が促進されることが望まれる。」

ログに関する基準

10.10 監視システムを監視することが望ましく，また，情報セキュリティ事象を記録することが望ましい。

具体的な要件

10.10.1 監査ログ取得 10.10.4 実務管理者及び運用担当者の作業ログ

10.10.2 システム使用状況の監視 10.10.5 障害のログ取得

10.10.3 ログ情報の保護 10.10.6 クロックの同期

クラウドサービス利用者として必要とされるログ監視の要件が明記されています


AWSの共有責任モデル

6

AWSを利用する上でのユーザが負担すべき責任

・ユーザのデータ・アプリケーション・セキュリティグループ・OS

・アカウント管理・ネットワーク設定・OSファイアウォール

・ファシリティ・物理セキュリティ・物理インフラ

・ネットワークインフラ・仮想インフラ

ユーザが管理

AWSが管理

AWSの責任共有モデル

AWSシステムのセキュリティはユーザも責任を負う必要がある

AWSユーザが管理する必要があるポイント

各種法令／ガイドラインへの準拠の際にも注意が必要







5. 事例ご紹介

7


Logstorage ご紹介

8

あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理システムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視、業務効率改善など、多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。

出典：ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2016(統合ログ管理市場)」

Logstorageは10年連続市場シェアNo.1導入実績累計 2,200社！

「Logstorage」とは

Logstorage

A製品

その他

B製品

C製品

38.9％


Logstorage ラインナップ

9

統合ログ管理製品の決定版

日本国内のセキュリティ運用にフィットしたSIEM製品

AWSを始めとして、Microsoft Azure等の様々なパブリッククラウドのログ管理ツール


機能・システム構成

10

ログ収集機能

[受信機能]・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]・Agent・EventLogCollector・SecureBatchTransfer

ログ保管機能

ログ検知機能検索・集計・レポート機能

・ポリシーに合致したログのアラート・ポリシーはストーリー的に定義可能

(シナリオ検知)

・ログの圧縮保存／高速検索・ログの高速検索用インデックス作成・ログの改ざんチェック機能・ログに対する意味（タグ）付け・ログの暗号化保存・保存期間を経過したログを自動アーカイブ

・ログの検索／集計／レポート生成・インデックスを用いた高速検索・検索結果に対する、クリック操作による絞込み・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)

<Logstorage システム構成>


ログ収集実績／連携製品

11

日本国内で利用されているソフトウェア・機器を中心に250種以上のログ収集実績

【Logstorage アライアンス製品】

LanScope Cat SecureCube / AccessCheck

CWAT InfoTrace

MylogStar IVEX Logger シリーズ

i-FILTER MaLion

VISUACT SSDB監査

PISO SKYSEA Client View

Palo Alto Networks NGFW Amazon Web Service (AWS)

Microsoft Azure

［OSシステム・イベント］・Windows

・Solaris

・AIX

・HP-UX

・Linux

・BSD

［Web/プロキシ］・Apache

・IIS

・BlueCoat

・i-FILTER

・squid

・WebSense

・WebSphere

・WebLogic

・Apache Tomcat

・Cosminexus

［アンチウィルス］・Symantec AntiVirus

・TrendMicro InterScan

・McAfee VirusScan

・HDE Anti Vuris

［複合機］・imageRunner

・Apeos

・SecurePrint!

［Lotus Domino］・Lotus Domino

・Notes AccessAnalyzer2

・Auge AccessWatcher

［クライアント操作］・LanScope Cat

・InfoTrace

・CWAT

・MylogStar

・IVEX Logger

・秘文・SeP

・QND/QOH

［メール］・MS Exchange

・sendmail

・Postfix

・qmail

・Exim［データベース］・Oracle

・SQLServer

・DB2

・PostgreSQL

・MySQL

［ネットワーク機器］・Cisco PIX/ASA

・Cisco Catalyst

・NetScreen/SSG

・PaloAlto PA

・VPN-1

・Firewall-1

・Check Point IP

・SSL-VPN

・FortiGate

・NOKIA IP

・Alteon

・SonicWall

・FortiGate

・BIG-IP

・IronPort

・ServerIron

・Proventia

［サーバアクセス］・ALogコンバータ・VISUACT

・File Server Audit

・CA Access Control

［その他］・VMware vCenter

・SAP R/3 (ERP)

・NetApp (NAS)

・ex-SG (入退室管理)

・MSIESER

・iSecurity

・Desk Net’s

・HP NonStop Server

・BOX

・Office 365

…その他

［データベース監査］・PISO

・Chakra

・SecureSphere DMG/DSG

・SSDB監査・AUDIT MASTER

・IPLocks

・Guardium

［ICカード認証］・SmartOn

・ARCACLAVIS Revo

［運用監視］・Nagios

・JP1

・Systemwalker

・OpenView


Logstorage X/SIEM

12

リアルタイムでの高度なログ分析を提供

ログ収集機能

[受信機能]・Syslog / 共有フォルダ

[ログ送信・取得機能]・Agent・EventLogCollector

アラート

・ユーザが自由に作成・編集可能な高度なポリシー・ポリシーに合致したログのアラート・相関分析を用いた動的かつ高度なポリシーの作成・メール、または外部コマンドの実行

検索／高度なGUI

・ログの検索・容易かつ高度な検知ポリシー作成・編集・ダッシュボードを用いた同時監視・リアルタイムモニタ

高度な連携

・脅威DBとの連携機能提供（提供元との別途ご契約が必要）

receive

Firewallルータースイッチ

Windows

ELCAgent

ファイルサーバ Linux

sensor

APIGUI

web

アラート（メール、コマンド実行）

indexer


Logstorage クラウド対応ラインナップ

13

Logstorage for AWS/Logstorage 連携パック for AWS

Logstorage 連携パック for Azure Activity Log

Logstorage クラウド向けログ収集モジュール

Logstorageはマルチ／ハイブリッドクラウド対応を進めています

Logstorageはパブリッククラウドサービスへの取り組みを通じて、来るマルチ／ハイブリッドクラウドへの対応を進めています。

box 監査ログ、 Office365 監査ログに対応







5. 事例ご紹介

14


パブリッククラウド構築の可視化

15

パブリッククラウド上の操作は「見えない」

オンプレミスとパブリッククラウドの比較

オンプレミスでの作業パブリッククラウドでの作業

H/W調達実機を購入 API/Webでインスタンス作成

データセンター設置データセンター搬入同上

ネットワーク接続、設定ケーブル結線ルーター設定の操作

API/Webで設定

ファイアウォール設置、設定ファイアウォール設定の操作同上

従来のシステム構築では実機の搬入や結線を実施していたが、パブリッククラウドでは全てのシステム構築過程が「API」（またはWebインターフェース）で実行されるため、作業内容がわかりづらい。

H/Wレベルの操作を把握するためには「ログ」を取得する必要がある！


パブリッククラウド運用の特徴

16

サービス開始後もサイジング変更が容易

オンプレミスでは機器の性能は構築が終わると変更が難しい

• サービスイン後に性能不足が発生させるのを避けるため、H/Wにかなりの安全係数を掛けて設計• → 運用後にリソース余剰が発生してもそのまま運用を継続するしか無い

パブリッククラウドでは機器の性能の変更はいつでも可能

• スモールスタートでサービスインしておき、ログやステータス情報から必要に応じて性能をスケールアップさせたインスタンスへの変更が可能

• AWSやAzureでは、原則としてインスタンスの起動時間に応じてコストが掛かる• → インスタンスのCPU負荷やメモリ使用率はコストとしては変動しない

• e.g. ログや性能情報からインスタンスのスペックを下げることも検討できる

インスタンスのログや性能をモニタリングすることが重要


マネージドサービス固有の問題

17

マネージドサービスの監査をどうするか？

• Amazon AWS S3、box、Office365等のマネージドサービス（直接提供OSを操作しないサービス）の状態は、仮想マシンに直接アクセスできないため、マネージドサービスから提供されているAPIを用いて利用状態を把握する必要がある。

課題

• 進化の著しいパブリッククラウドサービスが提供するAPIを用いて、ログや状態を監視する処理を作り込まなくてはならない

• 直感的にサービスの状態が把握しづらい（機器やOSの負荷が直接見えない）ため、ログや統計情報などを横断的に把握する必要がある

• →ファイルアップロード、メール流量が増加していないか？外部接続用のN/W機器や回線を増強する必要があるのではないか？

マネージドサービスのログをモニタリングすることが重要


ハイブリッドクラウドとは？

18

ハイブリッドクラウド環境の登場

オンプレミス、プライベートクラウド、ハイブリッドクラウドの各サービスの長所、コストを勘案し、組み合わせて構築したシステムを指します。

そもそもハイブリッドクラウドとは？

ハイブリッドクラウド移行例

データベース

ファイルサーバ

メールサーバ

アプリケーションサーバ

Amazon

EC2

Amazon RDS

box（ファイル共有）

Office365 Exchange


ハイブリッドクラウドにおける課題(1)

19

標的型攻撃対策の必要性

標的型攻撃はオンプレミス・パブリッククラウドを問わず、どの環境からも侵入され、相互に侵害が発生する可能性があります。

標的型攻撃は侵入場所を問わない

想定される攻撃例• EC2インスタンスへのマルウェア感染• DDoS踏み台化• RDSからの重要情報漏えい

• boxからのファイル漏えい、削除標的型メール攻撃でPCがマルウェア感染

標的型攻撃を境界で防ぐことが難しくなっている上に、ハイブリッドクラウド環境はシステム構成が複雑化する傾向にあります。そのような環境下でいかに侵入をいち早く検出し、被害を押さえ込むことが重要なポイントです。


ハイブリッドクラウドにおける課題(2)

20

各種パブリッククラウドサービスのログ取得の実装、ログ内容はサービス毎に異なります。ログ取得処理を自ら開発・運用したり、フォーマット・意味付けの異なるログをレビューしていては、運用コストの増大を招きかねません。

システムは複雑化しても監査・管理は必要

AWSCloudTrail

AmazonEC2

運用担当者

オンプレミス


ハイブリッドクラウド監視の解決策

21

ハイブリッドクラウドを統合管理することで効率的に管理する

ハイブリッドクラウドの複雑な構成をLogstorageを用いて効率的にセキュリティ対策を行うことが可能です。

AWSCloudTrail

AmazonEC2

オンプレミス

各環境からのログ収集、分析はLogstorageが実施

運用担当者はLogstoageで横断的にログやイベントの確認が可能







5. 事例ご紹介

22


クラウドサービスのログ取得

23

パブリッククラウドのログを取得するだけでも一大事

AWSCloudTrail

S3 bucket

AWS CloudTrail のログ取得 AWS CloudWatch Logs のログ取得

Amazon CloudWatch

CloudWath Logs 内部で保持APIで取得する必要あり

API

S3バケットにファイルで出力

ログを取るだけでも、サービスによって方式が異なる


Logstorage クラウドラインナップ

24

Logstorage クラウドラインナップでパブリッククラウドのログ収集を容易に実現

Logstorage for AWS / Logstorage 連携パック for AWS

連携パック for

Azure Activity Log

クラウド向けログ収集モジュール


サービス間でのログの差異

25

ログのフォーマットはサービスでバラバラ

"Records": [{"eventVersion": "1.0","userIdentity": {

"type": "IAMUser","principalId": "EX_PRINCIPAL_ID","arn": "arn:aws:iam::123456789012:user/Alice"

AWS CloudTrail のログ

79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be mybucket [06/Feb/2014:00:00:38 +0000] 192.0.2.3 79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be 3E57427F3EXAMPLE REST.GET.VERSIONING - “GET /mybucket?versioning HTTP/1.1” 200 - 113 - 7 - “-” “S3Console/0.4” - （1行）

79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be mybucket [06/Feb/2014:00:00:38 +0000] 192.0.2.3 79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be 891CE47D2EXAMPLE REST.GET.LOGGING_STATUS - “GET /mybucket?logging HTTP/1.1” 200 - 242 - 11 - “-” “S3Console/0.4” - （1行）

AWS S3 アクセスログ

ログのフォーマット、内容もサービスによってバラバラ


マルチクラウドではさらに・・・

26

さらにマルチクラウドでは対応すべきフォーマットが増加する

"authorization": {"action": "Microsoft.Security/register/action","scope": "/subscriptions/70435def-b7c2-45cb-9258-f2d6a1835f34"

},"caller": “[email protected]","channels": "Opera

Azure Acticity Log

"created_at": "2017-02-02T16:50:51-08:00", "event_id": "5dfbd9a7-d022-42a9-9b9a-00818d338686", "event_type": "DOWNLOAD", "ip_address": “XXX.XXX.XXX.XXX", "type": "event",

box アクセスログ

マルチクラウド環境でのログ管理は、フォーマットの差異を吸収しないと管理者の運用コストが増大する


ログ分析によるレビュー負荷の削減

27

Logstorageのログ分析機能で可読性を向上、レビュワーの負荷を削減します

Logstorageに取り込むことで、様々なサービス／パブリッククラウドのログをレビューしやすい形式に出来る


ログの長期保管コスト

28

ログの長期間・大量保存はコストが掛かる

ログをそのままの状態で長期保管すると、ストレージに掛かるコストが増大していきます

1日にシステム全体で10GBのログが出力される場合10GB × 365(日) = 3,650 GB 必要

ログの保存期間に応じて期間は増減する例：PCIDSS 最低1年以上保存が必要

AWS EBS 上に保存する場合・・・st1（Throughput Optimized）で計算すると（4,000GBで計算）$218/月、年額で $2,616 必要になる（2017年6月現在）

より長期間保存するのであれば、コストが積み上がっていく


ログの高効率圧縮でストレージを活用する

29

独自の圧縮方式で、レスポンスを損なうこと無く効率的なストレージ運用が可能

Amazon EC2

Amazon CloudWatch

AWSCloudTrail

ログを圧縮保存することで効率的なストレージの活用が可能

Amazon EBS

ログを最大10分の1に圧縮して保存

Logstorage

圧縮した状態のままでレポート等活用可能


オフライン化でさらに効率的な運用

30

オフラインデータを安価なオブジェクトストレージに移動

Amazon EBS

Logstorage

オンラインログデータ（3ヶ月分）

オンライン期間を経過した古いログデータ

AmazonS3

Amazon Glacier

オンライン期間を経過したログデータは、より安価なオブジェクトストレージに移動

過去のログデータを活用したい場合は、オブジェクトストレージからリストア

オフライン運用との組み合わせで、安価なオブジェクトストレージにログデータを移動してコスト抑制







5. 事例ご紹介

31


[事例1] AWS上でのルール準拠

32

ログ収集対象

ルータ踏み台サーバ

スイッチ NATインスタンス

認証サーバセキュリティ端末

その他、セキュリティ管理サーバ

全顧客の AWS CloudTrail ログ

全顧客の AWS Config ログ

Logstorage導入目的

各種セキュリティ認証の取得(PCI DSS / ISO27001)

SOC2 への取り組み上記への対応を通じ、セキュリティへの取り

組みについて客観的な評価に基づく透明性の確保、高度なセキュリティ体制の実現

Logstorage導入環境

認証サーバ Logstorage

その他管理サーバ

踏み台サーバ

社内インフラVPC

ルータ VPN装置

閉塞網 Internet

セキュリティ端末

東京拠点

ルータ

東品川データセンター

Direct Connect(専用線接続)

セキュリティネットワーク

Customergateway


[事例1] cloudpack様コメント

33

○SOC 2報告書

○PCI DSS認証

『Logstorageは、PCI DSSで求められるログの暗号化と改ざん検出に標準機能で対応しており、別の製品と組み合わせる必要なく対応できた』

『結果、PCI DSS認証取得において、ログに関する指摘事項は無かった』

『Logstorageを利用したログの一元管理はSOC2対応でも踏襲した。AWSを対象としたフルマネージドサービス事業で、国内で初めてSOC 2報告書を受領した。』

『LogstorageはAMIでも提供されるため、インストールには殆ど手間が掛からなかった』

『多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対応は助かった。』

○その他

cloudpack（アイレット株式会社）様から頂いたコメント

https://www.google.co.jp/imgres?imgurl=http://creditcard-diary.com/wp/wp-content/uploads/2015/10/pci-dss.png&imgrefurl=http://creditcard-diary.com/diary/pcidss/&docid=8cg-85lQ3dqKsM&tbnid=99802HzagL8-YM:&w=516&h=410&client=firefox-b&bih=889&biw=1784&ved=0ahUKEwig-ICg7MzNAhXMppQKHZqVCpgQMwgeKAAwAA&iact=mrc&uact=8

https://www.google.co.jp/imgres?imgurl=http://creditcard-diary.com/wp/wp-content/uploads/2015/10/pci-dss.png&imgrefurl=http://creditcard-diary.com/diary/pcidss/&docid=8cg-85lQ3dqKsM&tbnid=99802HzagL8-YM:&w=516&h=410&client=firefox-b&bih=889&biw=1784&ved=0ahUKEwig-ICg7MzNAhXMppQKHZqVCpgQMwgeKAAwAA&iact=mrc&uact=8


[事例2] 複数アカウントログの統合管理

34

複数のAWSアカウントのCloudTrail/Configログを統合管理

AWSCloudTrail

AWSConfig

複数のユーザアカウント統合管理用アカウント

集約されたログを一括で検索、確認

ハンズラボ株式会社様

導入目的：• 内部統制、PCIDSS対応• エンジニア全員がAWSを利用しており、AWS上の作業の監視

• AWS上のログデータの統合的な管理

• ログの集中管理を行うことで、有事の際の迅速な対応

頂いたコメント（抜粋）・複数アカウントのログを集中管理でき、調べたい情報（検索結果）を得るスピードが格段に向上しました。「Logstorage for AWS」に含まれる有用なテンプレートも使用していますが、任意の検索条件を容易に作成することもできるので、目的に応じ活用しています。


[事例3] ハイブリッド運用

35

社内ルーター router LogGate（ログ収集サーバ）

ELBWebAPサーバ

AmazonRDS

LogGate（ログ収集サーバ）

Console（管理／GUIサーバ）

事業者データセンターAWSから一般ユーザ向けに

Webサービスを展開

凡例Webサービスの経路ログデータの経路Logstorage検索処理

SecureCube AccessCheck でデータセンタ機器とAWS EC2への事前承認のないアクセスを排除

SecureCube AccessCheckのログも収集し、機器・EC2の

ログと突合する

AccessCheckを経由しない違反アクセスを監査

ログデータ自体はデータセンターとEC2でそれぞれ別個に保存し、検索結果だけをAWSから取得させることで、AWSからの転送コストを低減

オンプレミス、AWSの双方にSecureCube AccessCheckを用いて特権ID管理を実施、ハイブリッドクラウドでの不正アクセス監査を実現

Copyright(C) 2017 Infoscience Corporation. All Rights Reserved. 36

Logstorage 関連資料

URL: http://www.logstorage.com/product/product_materials.html

- Logstorage ご紹介資料

- Logstorage for AWS ご紹介資料

その他、ログ活用資料掲載中。

お問い合わせ先・開発元

インフォサイエンス株式会社プロダクト事業部

TEL 03-5427-3503 FAX 03-5427-3889

http://www.logstorage.com/ mail : [email protected]

ログから始めるクラウド運用のポイント2017/06/28 · infoscience corporation...

Documents