ログサーバーに保存したログ、そのログを暗号化していますか?
ログをテキスト形式のまま保存すると、第三者から簡単に覗き見され、改ざんも容易に行われてしまいます。さらに、機密情報の漏洩にもつながります。収集したログを暗号化して保存することは、GRC(Governance Risk Compliance)管理でのセキュリティ対策やPCI DSSの要件にも求められています。
syslog-ng Store Box(SSB)では、収集したログを公開鍵暗号方式を使用して、安全にログを保管することができます。
SSBは、アーカイブ(外部ストレージに保管)している、暗号化されたログファイルも閲覧・検索することが可能です。
今回は、syslog-ng Store Box(SSB)でログを暗号化して保存する方法と、暗号化したログを復号し閲覧・検索する方法について紹介します。
はじめに
ここでは、syslog-ng Store Box(SSB)のログスペース(ログストア)を暗号化する手順について説明します。
SSBでは公開鍵暗号方式を使用してログスペース(ログストア)を暗号化することができます。デフォルトの暗号化アルゴリズムは “aes-128-cbc”、ダイジェストアルゴリズムは “SHA-1” です。
証明書や秘密鍵にはPEMフォーマットを使用することができます。DERフォーマットは現在サポートしていません。また、PEM(RSAとDSA)、PUTTY、SSHCOM/Tectiaフォーマットの秘密鍵を使用できます。パスワードで保護された秘密鍵もサポートします。
 |
 |
| 非暗号化ログイメージ | 暗号化ログイメージ |
ログストアの暗号化
ログスペース(ログストア)を暗号化するには、以下の手順を実行します。あらかじめ、暗号化するための公開鍵のセットが必要になります。
手順
- [Log]>[Logspaces]で、暗号化するログスペースに移動します。
- [Encryption certificate]フィールドの
をクリックします。 - [Encryption certificate]ポップアップウィンドウが表示されるので、次のいずれかの方法で暗号化に使用する証明書を設定します。
- [Upload certificate]フィールドの[参照]をクリックし、証明書ファイルを選択し[Upload]をクリックします。
- [Copy-paste certificate]フィールドに証明書の内容をコピーし、[Set]をクリックします。
- 正常に証明書が設定できれば、識別名(DN)が表示されますので確認します。
- [Commit]をクリックします。SSBは受信したログを暗号化して保存します。※1
 |
| 証明書の設定(ファイルアップロード) |
 |
| 証明書の設定(カット&ペースト) |
 |
| 証明書識別名(DN)の表示 |
※1 既にログが保存されているログスペース(ログストア)の場合、暗号化の適用は翌日から行われます。ログスペース(ログストア)ファイルは1日毎に作成されるので、途中から暗号化(保存形式を変更)できないためです。
暗号化されたログの閲覧
暗号化されたログスペースを[Search]ページで閲覧・検索することはできません。暗号化されたログスペースを指定すると、以下のように「Logspace indexer error: Encrypted log store cannot be decrypted」エラーが表示されログメッセージは閲覧できません。
 |
| ログの表示エラー |
暗号化されて保存されたログスペース(ログストア)を閲覧するには、以下の手順を実行します。あらかじめ、復号するための公開鍵のセットが必要になります。
手順
- [User menu]>[Private keystore]をクリックします。
- [Private key store]ポップアップウィンドウが表示されるので、[Private key store]タブの[Permanent]※2の[+]ボタンをクリックします。
- [Certificate]下のボタンをクリックします。
- [Changing certificate]ポップアップウィンドウが表示されるので、ログストアの暗号化するのに使用された証明書を[参照]で選択し[Upload]するか、証明書の内容をコピーして[Set]ボタンをクリックします。
- [Key]下のボタンをクリックします。
- [Changing Key]ポップアップウィンドウが表示されるので、ログストアの暗号化するのに使用された証明書に対応する、秘密鍵を[参照]で選択し[Upload]するか、秘密鍵の内容をコピーして[Set]ボタンをクリックします。
- 正常に証明書と秘密鍵が設定できれば、識別名(DN)およびフィンガープリントが表示されますので確認します。
- [Apply]をクリックします。
- [Search]ページで暗号化されたログファイルを閲覧・検索できます。
 |
| [User menu]メニュー |
 |
| キーストアの追加 |
 |
| キーストアの確認 |
 |
| 暗号化されたログの表示 |
※2 [Temporary]の[+]ボタンをクリックして公開鍵のセットを設定すると、セッション中にのみ公開鍵のセットが有効になります。ログオフ後は公開鍵のセットが削除され、公開鍵のセットを再度、有効にしないと表示できません。ログスペースに復号に使用する秘密鍵を設定することも可能です。詳細については「SSB 5 LTS 管理者ガイド」を参照ください。
暗号化アルゴリズムの変更
ログスペース(ログストア)を暗号化するのに使用するアルゴリズムを変更するには、以下の手順を実行します。
手順
- [Log]>[Options]>[Options]に移動します。
- [Cipher]でログストアを暗号化する為の方法を、[Digest]でダイジェストの方法をプルダウンで適宜、選択します。
- [Commit]をクリックします。
 |
| [Log]>[Options]メニュー |
SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。
syslog-ng Store Box (SSB)製品ページ:https://www.jtc-i.co.jp/product/ssb/ssb.html
syslog-ng Store Box (SSB) 製品ラインナップ:https://www.jtc-i.co.jp/product/ssb/ssb_lineup.html
syslog-ng Store Box (SSB)ドキュメントセンター:https://www.jtc-i.co.jp/support/documents/ssbdoc.html
評価版のダウンロードはこちら:
