BIのログ分析によるサイバーセキュリティ


ビジネスインテリジェンス(BI)とは、企業などの組織が持つデータを情報・統計処理の手法を使って、収集・蓄積・分析・報告等を行うことで、経営戦略の立案等に役立てるものです。

このBIの手法は、経営戦略の立案等だけではなく、Webサイトのアクセスログやサーバーやメールのログといったものを分析することによってサイバーセキュリティの向上といった目的にも利用することが出来ます。

今回の記事では、こういったBIのログ分析の手法を用いたサーバーセキュリティ対策について取り上げます。

1. そもそもBIのログ分析とは?


「BIのログ分析によるサイバーセキュリティ対策」と一言で書きましたが、そもそもログ分析とはどのように行うのでしょうか。

Webサイトのアクセスログ、サーバーのシステムログ、メールの送受信ログなど、ITシステムでは様々な動作の記録がログとして残されます。これらのログには、さまざまな情報が記録されており、これらを利用することで多くのことがわかります。例えば以下のようなことです。

加えてBIで、重要になるのは新聞広告などの各種メディアでの広告効果、実店舗での売上データなどITシステム以外の情報です。

これらをまとめると以下のようになります。

IT関連ログ

・Webアクセスログ:特定のWebサイトに、いつ誰がどこからアクセスしたか。不審な攻撃がないか、など

・サーバーのシステムログ:システムがどのように動作しているのか。ハードウェアやソフトウェアの動作に問題のある部分はないのか、など

・メールの送受信ログ:いつどういったメールが誰から誰宛に送られているのか。送受信に異常は起きていないか、など

 

非IT関連ログ

・メディア広告の効果:新聞、TV等での広告がどれほどの効果をあげているのか

・売上データ:実際の店舗等での売上データがどのように推移しているのか

 BIのログ分析では、これらのログを解析・分析することによって、さまざまな知見を得て、全体としての効果や効率の向上を実現していきます。

2. ログ分析をサイバーセキュリティにどう役立てる?


近年、インターネット上でのセキュリティ事故が大きな問題となってきています。2014年のベネッセによる3504万件の個人情報漏洩、2015年の日本年金機構による125万件の個人情報漏洩といった事件は、皆さんにとっても記憶に新しいところではないでしょうか。

こういったセキュリティ事故を防ぐために、ログ分析はどういった使い方が出来るのでしょうか。サイバーセキュリティでは大きく分けて「平常時の対応」と「有事における対応」という2つの対応があります。それぞれの留意ポイントは以下になります。

・平常時の対応:セキュリティ事故が発生していない状態→防止の対策が重要

・有事における対応:セキュリティ事故が発生した状態→検知・封じ込め・修復・教訓等が重要

これらを踏まえて、サイバーセキュリティ目的でログを扱う際には次の3つのポイントが重要になります。

  1. ログの適切な保管
  2. ログの定期的な確認
  3. 見るべきログの把握

 

 これらはすべて平常時に行っておく必要があります。半年、1年などログの適切な保管期間を定めて問題が発生した場合に確認ができるようにする、内容を定期的に確認することで異常な事態が発生していないかを確認する、セキュリティ対策としてどのアプリケーションのどのログを参照すべきかを明確にして分析対象を絞り込むことで解析の迅速化をはかる、といったことは有事の際の迅速な対応を実現するという点でとても大切なことです。

 こういったログ分析では、「自動化」ということも効果が高いでしょう。特に、ログを定期的に閲覧し、そこから異常を見つけ出すという作業は人の眼ではなかなか難しいものですし、見落としが発生する可能性があります。また、実際に異常が発生してからログを閲覧するまでは、少なからずタイムラグが発生する可能性があります。そこで取るべき解決策の一つがログの監視と異常検知の自動化です。

 市販製品にもIBMのTivoliや富士通のSystem Walkerなどログの監視や異常検知を行える統合監視ソフトウェアはありますし、簡単なものであれば、自分たちで監視をする仕組みを作ることも可能です。方法としては、市販であってもそうでなくても同じような方法であり、例えばログに記録される文字列を常時監視し、異常を示す「ERROR」や「FAILED」等が見つかるとメールで管理者に連絡をしたり、画面に警告を出したりするといったプログラムを設定しておく方法があげられます。

 こういった仕組みを平常時から整えておくことで、実際にセキュリティ事故が発生した有事の際に迅速かつ適切な対応を行うための一助になると考えられます。

3.最後に


サイバーセキュリティの対策にも、BIは利用が可能です。BIと共に企業として取るべき適切な対応を取る事がとても重要といえるでしょう。サーバー運用管理はBIのログ分析については、こちらもご参照下さい。


COMMENTS