ログ監視とは
まずはログ監視の概要、そして監視対象であるログについて理解を深めていきましょう。
そもそもログとは
近年では、仕事でパソコンやタブレット、スマートフォンといったデジタルデバイスを使うことが常識となっています。しかしその裏には、不正アクセスという見えないリスクによる損失が発生しています。それを防ぐためには、PCなどのアクセス記録である「ログ」を監視し、チェックしていかなければなりません。
そもそもログとは、サーバやネットワーク機器、クライアントPCといったハードウェア、あるいは各種ソフトウェアなど、ITシステムを構成する様々な構成要素がその稼働状況を残す記録の事です。具体的には、以下のような種類があります。
-
・端末ログ:PCやスマートフォンなど業務用端末の利用状況
-
・ログインログ:業務用端末からのファイルサーバやDBサーバへのログイン状況
-
・プリンタログ:プリンタの利用状況
-
・Webログ:Webサイトへのアクセス履歴
-
・ファイルログ:ファイルの更新、コピー、削除などの操作内容
-
・FTPログ:FTPサーバへのアクセス状況や操作内容
-
・アプリケーションログ:アプリケーションのインストールや利用状況
情報漏えい・不正アクセスを防ぐログ監視
ログ監視とは、「記録」を監視していくことであり、データの入出力やユーザーの操作をチェックすることです。つまり「いつ、どこで、誰が、何をしたのか」が分かるように監視・記録することです。
例えば「誰がいつどのシステムにログインしたのか」「何月何日何時何分に電源をONにしたか」「このファイルに誰がいつアクセスしたのか」など、ITシステムに関する様々な情報がログファイルという形で記録されます。
ログ監視システム導入のメリット
ここからは、ログ監視システム導入のメリットについて解説していきます。
不正操作・情報漏えい予防に役立つ
このログ監視を企業内で行うと、不正操作やデータの持ち出しに抑止効果が働き、情報漏えいを未然に防ぐことができます。また予防だけでなく、問題が発生した際の証拠として役立てることができます。具体的にはログを監視してそのログデータを保存しておけば、重要な証拠となるでしょう。
早期発見により社内の風紀を保つことができる
私用目的でパソコンなどが使用できる職場環境や、不正ができる状況をそのまま放置しておいてはいけません。なぜなら、結果的にトラブルや不信感につながるからです。こういった不信感を取り除き、経営者と従業員の間の信頼関係を保つためには、ログ監視が重要となるのです。
またパソコンなどのログを監視することで、不正がしにくくなり、業務にも集中しやすくなります。それが結果として、社内の風紀を守ることにつながっていきます。
働き方改革に対応したセキュリティ対策ができる
働き方改革などの影響により、社員の雇用形態や働く環境が多様化してきました。この多様化するワークスタイルには、多くのメリットがありますが、もちろんデメリットもあります。そのデメリットの一つが不正アクセス防止を困難にすることです。
そこで注目を浴びているシステムがログ監視です。ログ監視を利用すれば、データを保管しているサーバシステムのセキュリティ強化ができ、多様な働き方においても高い水準のセキュリティを維持することができます。具体的なログ監視機能としては、以下のものがあります。
- ・調査、偵察と思われる不自然な、あるいは不審なアクセスを検出
- ・ネットワークアクセスだけでなくローカルアクセスも監視
- ・サーバ管理者が操作を監視することで冤罪を防止(正当性を担保)
- ・不正事実の特定と持出しルートの追跡の起点を確保
このようにログ監視は標的となるデータそのものを監視するのが特徴です。高度化、複雑化するサイバー攻撃や不正アクセスの防止につながります。
業務効率化へのヒントを発見できる
クライアントPCは従業員に1対1で割り当てられていることが大半ですが、それぞれのPC操作ログ分析をすると、従業員の業務処理方法が事細かに把握できます。
例えば、一定の間マウスの移動やキーボードの入力がなければ、少なくともPCを使った業務に携わっていないという状況が発見できます。この非生産的と思われる時間を見直すことで、生産性の向上に結び付けることができるのです。
上記の例は元々非効率だった業務内容を通常レベルに戻すという、“マイナスからゼロ”への効率化ですが、その他にも業績の良い社員のPC利用状況を分析することで、他のメンバーの業務改善に結び付けるというような“ゼロからプラス”への活用方法も考えることができます。
ログ監視システムの機能
ここまでログ監視のメリットについてみてきました。ここからは、そのメリットを実現させるシステムの機能について解説していきます。
ログに異常が見当たらないかチェックする「監視機能」
ログ監視ソフトウェアには、前述の各種ログを監視する機能が搭載されています。プログラムにより自動的に監視するため、原則として24時間365日にわたって監視活動を行うことが可能です。
また一部ログ監視ソフトウェアでは、ログ監視を実施するファイルやデータを任意に限定することも可能です。
必要な情報をすばやく抽出できる「検索機能」
実際に、ウィルス感染や不正アクセスといった事態が発生した場合には、情報セキュリティ部門による原因究明を進める必要があります。こういった場合に役立つのが、検索機能です。
多くのログ監視ソフトウェアは、ログとして記録された各種情報を任意の条件で検索できる機能を搭載しています。したがって、検索機能を駆使することでウィルスの感染源やスパイウェアなどの組み込まれたファイルを、迅速に特定できる可能性が高まります。
異常の検知をすばやく伝達する「アラート機能」
ログ監視ソフトウェアには、不正な操作や登録外端末の接続を検知した場合に、管理者に対してその旨をアラートできる通知設定機能もプログラムされています。
ログ監視ソフトウェアは、あらかじめ登録しておいた情報(業務用端末のアカウント情報、不正とされる操作、使用禁止ソフトウェアなど)や、これまで蓄積してきたログ情報との照合によって不正を検知しアラートを発します。
ログ情報を定期的に管理者へと報告する「レポート機能」
ログ監視ソフトウェアの多くは、ログ情報をソフトウェア上で保存・蓄積していくだけではなくメールや管理画面上でレポートとして通知する機能も有しています。こうしたレポート機能を搭載しているログ監視ソフトウェアでは、管理者がログ管理状況を正確かつ瞬時に把握することが可能です。
また、日次レポート、月次レポートといった形で期間を設定してレポートを表示、あるいはプリンタに出力することのできるログ監視ソフトウェアも存在します。
ログ監視の監視項目
ここまでログ監視の概要やメリット、機能について解説してきました。それでは、ログ監視の監視項目は何でしょうか。ここからはログ監視の基本的な監視内容についてみていきましょう。
- 死活状態…ネットワーク接続状態の監視
- システム起動時間…システムが起動する時間の監視
- ログインユーザ数…ログインしているユーザ数から、サーバなどにかかる負荷を監視
- プロセス数…実行中のプロセス数と未実行のプロセス数から、プロセス処理の負荷を監視
これらの基本監視を利用することで、さまざまな監視対象を監視することができます。
ネットワーク監視の種類
それでは次にネットワーク監視の種類についてみていきましょう。ネットワーク監視と一口にいってもその種類は様々で、自社の状況にあったネットワーク監視を行うことが重要です。
サーバ監視
サーバの監視をするために、サーバのネットワーク接続状態と、サーバにおけるリソースの使用状況などを確認します。
- ・死活状態…データの送受信の可否によりネットワークの接続状態の確認
- ・CPU使用率…CPUの使用割合を一定間隔の使用平均を算出し負荷を確認
- ・OSプロセス起動数…OSのプロセス数から、OSの負荷を確認
- ・OSログ…OSの稼働状態をログにして収集
CPU監視
CPUの監視は、プロセスの実行速度にかかわります。CPUの監視方法は大きく2つあります。
- ・ロードアベレージ…実行待ちのプロセスの割合から、CPUへの負荷の確認
- ・CPU使用率…上記の通り、CPUの使用率から負荷を算出
ネットワーク監視
ネットワーク監視は、リソースの使用状況に加え、死活監視も大切です。
- ・死活状態…上記の通りネットワークの接続状態を確認
- ・CPU使用率…上記の通り、CPUの使用率から負荷を算出
- ・トラフィック…ネットワークの遅延がないように監視
- ・ネットワークレスポンスタイム…ネットワークのレスポンスの速度を確認
- ・エラーパケット数…エラーによって、廃棄されたデータ数
- ・ページング発見件数…メモリに対して発生したページング件数の一定期間の平均
データベース監視
データベースを監視し、主にデータベースの使用状況を確認します。
- ・データベースの使用率…データベースの使用割合を監視
- ・テーブルスペース使用率…テーブルスペース領域に対する使用割合を監視
- ・エクステント使用率…外部記憶装置の使用割合を監視
メモリ監視
メモリに対しては、使用率を監視します。
- ・メモリ使用率…メモリの使用率を監視し、負荷を確認
サービス監視
システムレベルのサービスの起動状態やレスポンス速度を監視します。
- ・プロセス数…プロセスの実行割合を監視
- ・Windowsサービス起動状態…サービスの起動状態を監視
ログ監視システムの選び方
ここからはログ監視システムの選び方についてみていきましょう。
エージェント監視かエージェントレス監視か
ログ監視は、大きく分けるとエージェント監視とエージェントレス監視に分けられます。(両方使うハイブリット型もあります。)
エージェント監視とは、監視対象となるサーバやデータベースにインストールすることで、サーバやデータベースの内部から監視することです。エージェントレス監視とは、インストールすることなく、監視対象を監視します。ネットワークなどを経由して、外部サーバから、遠隔で監視します。
それぞれのメリット・デメリットをまとめると下記のようになります。
- エージェント監視
- メリット:内部から監視するのでより詳細に監視できる。
- デメリット:サーバやデータベースに負荷がかかり、動作が重くなる時がある。(エンドユーザに負担をかけるおそれがある)
- エージェントレス監視
- メリット:サーバやデータベースへの負荷が小さい。汎用的な監視をする
- デメリット:詳細な監視をすることができない。
エージェント監視とエージェントレス監視によって使い道が大きく異なるので、どちらのほうが自社に向いているか、確認することが大切です。
自社の導入目的を把握する
ログ監視を導入する目的によって、使うべきログ監視システムが変わります。上のメリットでもご紹介しましたが、改めてログ監視システムを使う目的を確認しておきましょう。
まず1つ目の目的がセキュリティの向上です。ログ監視システムにより、不正なアクセスや、不正なパソコン操作などを確認できるので、ログ監視システムが不正に対する抑止力として、あるいは不正・異常時の確認用に使用されます。
2つ目の目的はシステム障害の早期発見です。ログ監視システムが、サーバの負荷状況などをリアルタイムで監視し、異常がある際に通知を送る機能を持っているので、システム障害の早期発見につながります。
他にも、社員のパソコンの操作履歴を監視できるシステムもあります。目的によって、導入するログ監視システムが変わってくるので、自社の導入目的を明確にすることが大切です。
監視対象ログを明確にする
ログ監視システムは、主にサーバやネットワーク、パソコンのログを監視するシステムです。大抵のログ監視システムであれば、サーバやネットワーク、パソコンのログを監視できます。しかし、その他にも、ピンポイントで監視したい場合もあるでしょう。
例えば、ファイルの操作履歴を確認したいといったケースです。具体的にはファイルを誰がいつ開示したか、あるいは操作したかを確認できます。
また、USBの操作ログを残すログ監視システムもあります。パソコンの画面のキャプチャーをログとして残せるシステムもあります。このように多様なシステムがあるため、まずは「何を監視すると効率よくセキュリティ強化できるか」を導入前に考えましょう。
導入コストを確認する
企業によってはログ監視システムにコストをあまりかけられない場合もあるでしょう。安価に監視することを目的とする場合は、クラウド型のログ監視システムがおすすめです。クラウド型のログ監視システムであれば、コストを抑えて監視できます。
また、ログ監視システムのコストは、導入時の初期費用が大きくかかりランニングコストが少ない場合や、月々の費用のみがかかる場合などさまざまです。ログが蓄積すると月額料金が変わる場合もあるので、運用コストの確認は事前にしっかり行いましょう。
自社にあったネットワーク監視システムを導入しよう
ログ監視システムについて解説してきました。ログ監視システムの基本は、この記事でおわかりいただけたと思います。
便利なログ監視ですが、その使用方法によって得られるメリットも変わってきます。まずは自社の抱えるニーズを整理してから、最も適切なシステム導入をおすすめします。