サイバー攻撃対策としてログ管理製品を導入する際の3つのステップ

サイバー攻撃の被害件数は毎年増える一方です。

特に顕著な傾向として、日本の企業の99%以上を占める中小企業へのサイバー攻撃の被害件数が増加しています。

その理由は、大きく2つあります。

一つ目の理由は、中小企業はサイバー攻撃に対するセキュリティ対策が不十分であることが多く侵入が容易であることです。

二つ目の理由は、サプライチェーン攻撃の入口として利用されます。
セキュリティ対策が不十分な中小企業から侵入し、サプライチェーンの上流である大企業に侵入することにより、高く売れる情報を窃取するためです。

サプライチェーン攻撃の踏み台となってしまうと、たとえ被害者であったとしても、今まで築いてきた信用が失われる危険性があります。

サイバー攻撃にあった時に迅速な状況把握や原因究明に、必ず必要になるのがログ(syslog、SNMP Trapログ、Event Logなど)です。

サイバー攻撃の対策としてログ管理製品を導入するお客様の多くは、企業の規模に関わらず以下の3ステップに分けて導入されています。

ステップ1:Syslogサーバーで、必要なログを収集保存する

第一段階は、Syslogサーバーを導入して、必要なログをすべて収集し保存する事です。
これは、インターネットに接続している全ての企業が必ず実施する必要があります。

なぜならインターネットに接続している企業は、サイバー攻撃を受ける可能性があるからです。

時々聞く話として標的型攻撃にあった企業が、必要なログを収集していなかったのでお客様情報が漏洩したかどうかがわからないという話です。

このようなケースの場合、被害を最小限に抑えるためにはSyslogサーバーを導入し、必要なログをすべて、収集・保存する事が最も重要です。

弊社では、安価で簡単に導入できるWindows上で稼働する「Kiwi Syslog Server」をおススメしています。

■ Kiwi Syslog Server

Kiwi Syslog Serverは、RFC3164に準拠するsyslogの受信、フィルター、アクションの実行とバックグラウンドでの管理機能を備えたWindows上で稼動するSyslogサーバーソフトウェアです。

手軽なSyslogサーバーとして業界屈指の出荷実績があり、小~中規模のあらゆる業種でご利用いただいております。

高度なフィルタリングやアラートでのリアルタイムログ監視が可能です。

■ 評価版ダウンロード
フル機能無料評価版(14日間)を以下からお試しいただけます。
https://www.jtc-i.co.jp/support/download/

ステップ2:収集したログを高速に検索するツールを導入

第二段階は、収集したログを高速に検索するツールの導入です。
もし、サイバー攻撃にあった場合、関連するログからキーワード検索をして絞り込む必要があります。

その作業は時間との闘いでもあり、信頼できる高速な検索ツールが必要になります。

高速ログ検索ツール「Retrospective」がおススメです。

■ 高速ログ検索ツールRetrospective

Retrospectiveは、Syslogサーバーが受信して蓄積しているログをリアルタイムで閲覧することができるモニターモードと、蓄積したログの高速検索ができるサーチモードを簡単に切り替えて使用できるソフトウェアです。

問題が起きた時のログの検索などに非常に便利です。

■ 評価版ダウンロード
フル機能無料評価版(30日間)を以下からお試しいただけます。
https://www.jtc-i.co.jp/support/download/

ステップ3:保存しているログを見える化!ログ解析ツールの導入

第三段階は、保存しているログの見える化を行うログ解析ツールの導入です。

保存している大量のログには色々な情報が詰まっています。その情報を活用しない手はありません。
そのためにログを解析し、情報を可視化するツールが必要になります。
これにはログ解析ツール「Sawmill」がおススメです。

■ ログ解析ツール「Sawmill」

Sawmillは、ルーター、ファイアウォール、Webサーバー、メールサーバー、プロキシサーバーなど、多種多様なデバイス、システムおよびアプリケーションの出力するログの内容を高速で統計処理し、ダッシュボードにグラフを表示し、ログの見える化を行える汎用ログ解析ソフトウェア製品です。

「セキュリティインシデントの可視化」、「プロキシー解析で社員のWebアクセスの把握と不審な通信の検知」、「Webサイトのアクセス解析でサイト改善」、「Eメール解析で悪用防止」、「Syslog解析でネットワークヘルスと利用状況を可視化」など、様々な用途に活用できます。

Sawmillの「プロファイル」の詳細については、以下URLの製品ガイドの11、12ページをご参照ください。
https://www.jtc-i.co.jp/support/documents/presentation/productguide_sawmill.pdf

■ 評価版ダウンロード
フル機能無料評価版(30日間)をお試しいただけます。
https://www.jtc-i.co.jp/support/download/

Kiwi Syslog Server 統合パック

Kiwi Syslog Server 統合パックは、上述したログ受信、高速検索、解析をオールインワンにしたパッケージ製品です。

個々に購入するよりも若干お得になっています。

統合パック10プロファイルには、Kiwi Syslog Server、Retrospective、 Sawmill Professionalが含まれます。

https://www.jtc-i.co.jp/product/kiwisyslogserver/kiwisyslogserver_lineup.html

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

JTC IT用語集
TOP