猛威を振るう標的型攻撃に対してログ情報の監視、分析で攻撃に対処する、それがSIEM(Security Information and Event Management)だ。この分野で国産製品としてリリースされているのがインフォサインスの「Logstorage-X/SIEM」。同社はログ管理技術の長年の蓄積により生み出された同製品を2018 Japan IT Week 秋の情報セキュリティ EXPOに出展していた。同社が展開するSIEMとはどういったものなのか、展示会の模様をレポートする。

  • インフォサイエンス ブース

    インフォサイエンス ブース

企業システムのセキュリティを脅かすものとして、標的型攻撃がある。個別の企業や個人に狙いを絞り、様々なアプローチを使って組織システムに攻撃をしかけ侵入しようとするものだ。組織体では、個人とは比較にならない数のIT機器がネットワークにつながっている。従業員個々の端末にメールやブラウザ、ネットワーク機器に各種サーバと多くの入口がある。どこかに入り込んでしまえば、そこから組織が持つ情報へと辿り着いてしまう可能性は常にある。

これら各機器でのログを収集して一元管理し、リアルタイムに相関分析を行うのがSIEM(Security Information and Event Management)こと、セキュリティ情報イベント管理だ。ログ管理製品の実績を誇るインフォサイエンスが提供するのが同社のSIEM「Logstorage-X/SIEM」だ。

インフォサイエンスは、2002年以来統合ログ管理ソフト「Logstorage」を開発してきた。同ソフトは、当初のイベントログの収集、分析などに加えてバージョンを上げるごとに情報セキュリティ管理機能、内部統制機能、クラウドコンピューティング機能などを追加することでそれらの技術を蓄積、国産SIEM開発の動力源となっている。

  • 「Logstorage-X/SIEM」のフリップ 同社ブースより

    「Logstorage-X/SIEM」のフリップ 同社ブースより

同社の「Logstorage-X/SIEM」は、利用が難しく専門の技術者が必要である、豊富なテンプレートがあるが使える人がいないといったSIEMの課題に、日本語対応や直観的に操作できるGUIの導入、日本国内の状況に合わせたテンプレートの用意と国内IT部門が検討しやすいSIEMに尽力している。

  • 「Logstorage-X/SIEM」のシステム構成 Webサイトより

    「Logstorage-X/SIEM」のシステム構成 Webサイトより

具体的な機能では、特徴的なものがアラート設定機能。ログのフィルターや加工などの処理をパーツとして一つにまとめ、これを元にフローチャートを組んで設定の処理フローを視覚的に把握できる。SIEMの分野では特長的なインターフェイスになるということだ。

  • 複数のアラート案件の一覧。これらの事象が発生した場合の処理は、それぞれの環境に合わせてチューニングが必要になるためアラート設定システムが生きてくる(向かって左)。フローチャートを作成するようにアラート処理を作成、編集できる(向かって右)
  • 複数のアラート案件の一覧。これらの事象が発生した場合の処理は、それぞれの環境に合わせてチューニングが必要になるためアラート設定システムが生きてくる(向かって左)。フローチャートを作成するようにアラート処理を作成、編集できる(向かって右)

  • 複数のアラート案件の一覧。これらの事象が発生した場合の処理は、それぞれの環境に合わせてチューニングが必要になるためアラート設定システムが生きてくる(向かって左)。フローチャートを作成するようにアラート処理を作成、編集できる(向かって右)

ダッシュボードは、常時監視しやすいようにグラフや色を多用するインタフェースを用意。設定も自由にできるため、利用環境に応じたダッシュボードを作成できる。また、提供される複数のコマンド群は単一のログ検索だけでなく相関分析も行うことができ、FFRI社提供のマルウェアのデータベース情報やカスペルスキー提供のIPレピュテーション情報など他社セキュリティベンダーとも連携が可能で今後、さらに他の製品との連携を強めていく予定だという。

  • Logstorage-X/SIEM」のダッシュボードの標準スタイル(Webサイトより(向かって左)。それぞれのデバイスの受信状況やユーザーのログイン失敗件数を表示。不正ログインの監視を行う(向かって右)
  • Logstorage-X/SIEM」のダッシュボードの標準スタイル(Webサイトより(向かって左)。それぞれのデバイスの受信状況やユーザーのログイン失敗件数を表示。不正ログインの監視を行う(向かって右)

  • 「Logstorage-X/SIEM」のダッシュボードの標準スタイル(Webサイトより(向かって左)。それぞれのデバイスの受信状況やユーザーのログイン失敗件数を表示。不正ログインの監視を行う(向かって右)

ブースには同社の看板製品である「Logstorage」も展示されていた。今回のバージョンアップで7.1.0となる同アプリケーション、ログ収集、解析機能や暗号化機能、などの定番の機能に加えて新バージョンで追加された機能が、ログフォーマット自動解析機能になる。

  • 「Logstorage」スタート画面(向かって左)。表示されるログと使用者の行動一覧、ログ情報でユーザーの行動が一目瞭然
  • 「Logstorage」スタート画面(向かって左)。表示されるログと使用者の行動一覧、ログ情報でユーザーの行動が一目瞭然

  • 「Logstorage」スタート画面(向かって左)。表示されるログと使用者の行動一覧、ログ情報でユーザーの行動が一目瞭然

従来では、収集するログデータのスキーマ定義は、個別に正規表現などで指定する必要があったが、これを外部ログを取り込んだだけで自動的に解析し、スキーマの定義を行ってくる。目立たないが、管理者にとって非常に便利な機能になるはずだ。

  • 取得するログの修理を設定する画面。正規表現などを使い細かい設定が可能だ(向かって左)。ログデータを読み込んだだけでスキーマの定義が自動的になされる(向かって右)
  • 取得するログの修理を設定する画面。正規表現などを使い細かい設定が可能だ(向かって左)。ログデータを読み込んだだけでスキーマの定義が自動的になされる(向かって右)

  • 取得するログの修理を設定する画面。正規表現などを使い細かい設定が可能だ(向かって左)。ログデータを読み込んだだけでスキーマの定義が自動的になされる(向かって右)

インフォサイエンスの「Logstorage」は、統合ログ管理ツールの分野において2002年にサービスを開始して16年。すでに国内で3,000社以上に導入されており、出荷本数も積み重ねている。SIEMへの進出で同社はさらなる発展を目指しているが同社の担当者は、「国内のセキュリティベンダーは、数えるほどしかない。その中でも当社は、SIEMカテゴリーで戦っていきたい」と今後展開について強い意気込みを語った。