そのログ暗号化していますか? syslog-ng Store Box (SSB)

ログサーバーに保存したログ、そのログを暗号化していますか?

ログをテキスト形式のまま保存すると、第三者から簡単に覗き見され、改ざんも容易に行われてしまいます。さらに、機密情報の漏洩にもつながります。収集したログを暗号化して保存することは、GRC(Governance Risk Compliance)管理でのセキュリティ対策やPCI DSSの要件にも求められています。

syslog-ng Store Box(SSB)では、収集したログを公開鍵暗号方式を使用して、安全にログを保管することができます。

SSBは、アーカイブ(外部ストレージに保管)している、暗号化されたログファイルも閲覧・検索することが可能です。

今回は、syslog-ng Store Box(SSB)でログを暗号化して保存する方法と、暗号化したログを復号し閲覧・検索する方法について紹介します。

  1. はじめに
  2. ログストアの暗号化
  3. 暗号化されたログの閲覧
  4. 暗号化アルゴリズムの変更

はじめに

ここでは、syslog-ng Store Box(SSB)のログスペース(ログストア)を暗号化する手順について説明します。

SSBでは公開鍵暗号方式を使用してログスペース(ログストア)を暗号化することができます。デフォルトの暗号化アルゴリズムは “aes-128-cbc”、ダイジェストアルゴリズムは “SHA-1” です。

証明書や秘密鍵にはPEMフォーマットを使用することができます。DERフォーマットは現在サポートしていません。また、PEM(RSAとDSA)、PUTTY、SSHCOM/Tectiaフォーマットの秘密鍵を使用できます。パスワードで保護された秘密鍵もサポートします。

非暗号化ログイメージ 暗号化ログイメージ

ログストアの暗号化

ログスペース(ログストア)を暗号化するには、以下の手順を実行します。あらかじめ、暗号化するための公開鍵のセットが必要になります。

手順

  1. [Log]>[Logspaces]で、暗号化するログスペースに移動します。
  2. [Encryption certificate]フィールドのをクリックします。
  3. [Encryption certificate]ポップアップウィンドウが表示されるので、次のいずれかの方法で暗号化に使用する証明書を設定します。
    • [Upload certificate]フィールドの[参照]をクリックし、証明書ファイルを選択し[Upload]をクリックします。
      • 証明書の設定(ファイルアップロード)
    • [Copy-paste certificate]フィールドに証明書の内容をコピーし、[Set]をクリックします。
      • 証明書の設定(カット&ペースト)
  4. 正常に証明書が設定できれば、識別名(DN)が表示されますので確認します。
    5. 証明書識別名(DN)の表示
  5. [Commit]をクリックします。SSBは受信したログを暗号化して保存します。※1

※1 既にログが保存されているログスペース(ログストア)の場合、暗号化の適用は翌日から行われます。ログスペース(ログストア)ファイルは1日毎に作成されるので、途中から暗号化(保存形式を変更)できないためです。

暗号化されたログの閲覧

暗号化されたログスペースを[Search]ページで閲覧・検索することはできません。暗号化されたログスペースを指定すると、以下のように「Logspace indexer error: Encrypted log store cannot be decrypted」エラーが表示されログメッセージは閲覧できません。

ログの表示エラー

暗号化されて保存されたログスペース(ログストア)を閲覧するには、以下の手順を実行します。あらかじめ、復号するための公開鍵のセットが必要になります。

手順

  1. [User menu]>[Private keystore]をクリックします。
    2. [User menu]メニュー
  2. [Private key store]ポップアップウィンドウが表示されるので、[Private key store]タブの[Permanent]※2の[+]ボタンをクリックします。
    3. キーストアの追加
  3. [Certificate]下のボタンをクリックします。
  4. [Changing certificate]ポップアップウィンドウが表示されるので、ログストアの暗号化するのに使用された証明書を[参照]で選択し[Upload]するか、証明書の内容をコピーして[Set]ボタンをクリックします。
  5. [Key]下のボタンをクリックします。
  6. [Changing Key]ポップアップウィンドウが表示されるので、ログストアの暗号化するのに使用された証明書に対応する、秘密鍵を[参照]で選択し[Upload]するか、秘密鍵の内容をコピーして[Set]ボタンをクリックします。
  7. 正常に証明書と秘密鍵が設定できれば、識別名(DN)およびフィンガープリントが表示されますので確認します。
    8. キーストアの確認
  8. [Apply]をクリックします。
  9. [Search]ページで暗号化されたログファイルを閲覧・検索できます。
    10. 暗号化されたログの表示

※2 [Temporary]の[+]ボタンをクリックして公開鍵のセットを設定すると、セッション中にのみ公開鍵のセットが有効になります。ログオフ後は公開鍵のセットが削除され、公開鍵のセットを再度、有効にしないと表示できません。ログスペースに復号に使用する秘密鍵を設定することも可能です。詳細については「SSB 5 LTS 管理者ガイド」を参照ください。

暗号化アルゴリズムの変更

ログスペース(ログストア)を暗号化するのに使用するアルゴリズムを変更するには、以下の手順を実行します。

手順

  1. [Log]>[Options]>[Options]に移動します。
  2. [Cipher]でログストアを暗号化する為の方法を、[Digest]でダイジェストの方法をプルダウンで適宜、選択します。
    3. [Log]>[Options]メニュー
  3. [Commit]をクリックします。

SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。


syslog-ng Store Box (SSB)製品ページ:https://www.jtc-i.co.jp/product/ssb/ssb.html
syslog-ng Store Box (SSB) 製品ラインナップ:https://www.jtc-i.co.jp/product/ssb/ssb_lineup.html
syslog-ng Store Box (SSB)ドキュメントセンター:https://www.jtc-i.co.jp/support/documents/ssbdoc.html
評価版のダウンロードはこちら

こんな記事も読まれています

最新記事

おすすめ記事

  1. 特権アカウント管理の方法:Syteca を例とする実動作イメージ [PAM/PASM]

  2. ネットワークトラフィック解析による、ランサムウェアの早期検知

  3. 「Wiresharkでsyslogプロトコルパケットを覗く」syslog-ng Store Box活用連載企画vol.4

製品カテゴリー

NetFlow sFlow SNMP SSB Syslogサーバー サーバー監視 シスログサーバー セキュリティブログ トラフィック監視 ネットワーク監視 ログサーバー ログ保存 ログ管理 ログ管理ブログ 機器・サーバー監視のへや

JTC IT用語集
TOP