Enterprise Watch
最新ニュース

ログ管理の未来像に迫る-コンプライアンスに威力を発揮するRSA enVision

RSAセキュリティ・宮園氏に聞く

マーケティング本部長の宮園充氏
 コンプライアンスや内部統制の整備は、いまや企業にとって無視することのできない重要な経営課題の1つといえる。2008年からスタートする日本版SOX法をはじめとしたさまざまな規制に対応するため、ポリシー策定や文書化、およびポリシー順守を証明する体制・手段の確立が急務となっている。

 その対策として、RSAセキュリティ株式会社が2007年7月30日より提供開始したのが、統合ログ管理プラットフォーム「RSA enVision」。コンプライアンスなどにおいては特に重要なログ管理だが、既存のソリューションにはまだまだ課題も多いとされる。RSA enVisionでは従来にない画期的な特長でそうした課題を克服し、コンプライアンスや内部統制が本格化するこれからの時代に最適なログ管理が実現できるという。その根拠を探るべく、同製品の詳細について、マーケティング本部長の宮園充氏に話を聞いた。


RSA enVision

コンプライアンスに威力を発揮するRSA enVision

LogSmart IPDBとRDBの性能比較
 宮園氏によると、日本に先駆けてSOX法が施行された米国では、コンプライアンスを証明できない原因の1つに「不適切なログ管理」が挙がっており、ポリシー順守を証明するためには、十分なログ情報の収集と定期的なレビュー、および長期間にわたる保管の重要性が再認識されているという。

 その具体的な原因について宮園氏は、「企業内のシステムを構成するネットワーク機器、セキュリティ機器、ファイルサーバー、データベース(DB)サーバー、アプリケーションサーバーなどのコンポーネントが、それぞれ運用目的やベンダーを異にしているためではないか。さらに、それらの機器が別々の管理者によって管理されているケースもあり、包括的に企業システム全体を制御していくのが困難になってしまっているのではないか」といった点を指摘している。

 こうした課題を解決するには、より柔軟で確実なログ管理が求められる。同社が「コンプライアンスの証明に威力を発揮する製品」と表現するRSA enVisionでは、実装された高性能な専用DB「LogSmart Internet Protocol Database(以下、LogSmart IPDB)」により、そうした要件を満たすことが可能なのだという。特長は、同社の検証結果からも歴然としているように「高い処理能力」と「高圧縮性」の2点。これらにより、従来のリレーショナルデータベース(RDB)を採用したログ管理ソリューションでは不可能だった“100%のログ収集”を実現したことが、「コンプライアンスの証明に威力を発揮する」という言葉の根拠となる。


95%の圧縮率でログデータを余すことなく収集

RSA enVision最大の特長-高い処理能力と高圧縮性のLogSmart IPDB

ログデータ処理の流れ
 「そもそもRDBは、根本的に非構造データの収集には適していない」と宮園氏は指摘する。ログのような非構造データをDBに格納するためには、まずメタデータなどを追加して構造化しなければならない。このためログ収集の対象デバイスが多ければ多いほどDBには高パフォーマンス性が要求されるわけだが、RDBにはそこまでのパワーがない。また余分なデータを追加する分、圧縮性に劣るRDBではストレージ容量も消費してしまい、コスト高になってしまうという問題もある。宮園氏によると、「そこで一般的にRDBでは、必要でないと思われるデータをやむなくフィルタリングしている」という。

 実はこれが、RDBを採用しているログ管理ソリューションの一番の欠点といえるのだ。「コンプライアンスという視点で見た場合、ログ管理で最も重要なことは、必要なときに必要なデータの分析が確実に行える点に尽きる。フィルタリングすることで、パフォーマンスの問題は解決できるかもしれないが、いざ分析しようとしたときに必要なデータが不足してしまう危険性も出てきてしまう。実際そうした事例はいくつもあり、米国でログ管理がうまくいかない理由として、不適切なログ管理が挙がっている原因の1つとなっている」(同氏)。

 一方のRSA enVisionでは、一切フィルタリングを行わない。ネットワーク層、セキュリティ層、ホスト層、アプリケーション層、およびストレージ層にわたって、企業内のログデータを100%余すことなく収集する。そのため「担当者は、すべてのイベント情報から必要十分な報告書を作成可能」(同氏)で、それがRSA enVisionの最大の特徴といえる。

 これを可能にしているものこそが、処理能力と圧縮性に優れたLogSmart IPDB。宮園氏によると、その圧縮率はおよそ95%にも及ぶという。高い圧縮性により、構造化するために余分なデータを追加してもなお、フィルタリングすることなく、オリジナルのままログデータをすべて保存していくことができるのだ。

 処理能力にも優れるため、大容量のログデータを保存しながら並列して分析することも可能。ログ分析というと、トラブル発生時に事後対応の一環といったように、過去にさかのぼるイメージが強い。RSA enVisionでは、並列処理によるリアルタイム分析が可能なため、「事後対応だけでなく、能動的なセキュリティ対策としても有効」(同氏)とのことだ。


標準対応デバイスは130種、それ以外はUDSでサポート

 ログの収集は専用の「ログ収集モジュール」が行う。同モジュールがそれぞれのプロトコルを解釈するため、対象となるデバイスに特別なエージェントを入れる必要がない。プロトコルとしては、SyslogやSNMP、ODBC、XML、Windows API、CheckPoint OPSEC interfaceなどに対応。管理対象デバイスとしては、オープンソースのほかにベンダ特有の製品も含めたおよそ130種類を標準でサポートする。

 これ以外にERP製品など現状では対応していないものについても、プロトコルの解釈方法をXMLベースで記述する「ユニバーサル・デバイス・サポート(UDS)」にて対応させることが可能。このため、実質的にほとんどすべての環境に対応すると宮園氏は話す。


対応プロトコル 管理対象デバイス。ここにないものでもUDSで追加することができる

強力なGUIとテンプレートで相関分析も自由自在

 多くの管理対象デバイスからフィルタリングを一切行わずにログ収集を行うため、RSA enVisionには膨大なログデータが蓄積されることになる。それだけを聞くと、分析作業が大変なのではないかといった印象を受けるが、RSA enVisionには分析を強力に支援するGUIが用意されている。ログ表示やレポート出力の条件をカスタマイズできるほか、相関分析のような複雑な条件も柔軟に設定できるため、多面的な分析も容易に行うことが可能なのである。

 GUIとしては、RSA enVision上に直接アクセスするWebベースのものと、ログデータをローカルにダウンロードして利用するクライアントベースのものがある。サマリーの把握やリアルタイムの状況確認がしたい場合はWebベース、より詳細に条件を指定して状況確認がしたい場合はクライアントベース、といったように使い分ける具合だ。

 WebベースのGUIの画面構成は、大きく分けて「Overview」「Alerts」「Analysis」「Reports」の4つ。Overview画面では、ダッシュボードでログやアラートの内容を視覚的に確認できる。Alerts画面では、それよりさらに詳細なアラート状況が表示される。例えば、複数拠点にまたがってRSA enVisionを配置している場合は、地域ごとのアラート状況を世界地図などを使って直感的に表現してくれる。Alalysis画面では、デバイスやアラートのタイプや時間軸を指定することで、蓄積された膨大なログの中から、任意の内容のものだけをより分けて表示できる。


Overview画面-ダッシュボードにサマリー情報を表示 Alerts画面-拠点ごとのアラート状況を直感的に表示 Analysis画面-デバイスの種類や時間軸を指定すると、特定の情報を分析できる

 Reports画面では、指定したスケジュール、または任意のタイミングでレポートを生成できる。800種類にも及ぶ豊富なレポートテンプレートも特長で、各種法令に準拠したものをはじめ、ネットワーク機器、セキュリティ機器、データベースといったようにシステムの用途ごとに分類されたものが用意されている。これにより、必要な情報を即座にレポート化することが可能だ。

 相関分析に関しても、あらかじめ80種類ほどのルールテンプレートが用意されている。相関分析とは、例えば、「機器01」または「機器02」で「現象01」が確認され、かつ「機器03」で10件以上の「現象02」が見られた場合に、管理者に「アクション01」をする、というように、複数の機器にまたがる複雑な条件を定義できるものだ。ルールテンプレートにはあらかじめ、機器や現象、アクションなどの条件が定義されており、それらをカスタマイズしてOR条件やAND条件などで連ねていくことが可能。Ciscoのスイッチ、など具体的な製品で指定できるため、企業のIT環境に応じた適切な相関分析ルールが作成できる。


Reports画面-任意の条件でレポート生成できるほか、あらかじめ用意された800種類のレポートテンプレートを利用することも可能 標準で用意された相関分析ルールテンプレート。カスタマイズしたり、or条件やand条件で連ねることで、細かいルールを作れる 相関分析ルールテンプレートの詳細画面

コンプライアンスの影響で引き合いは上々

 製品ラインアップとしては、単体導入用のESシリーズと複数拠点にまたがる導入用のLSシリーズの大きく2種類。両シリーズともに対応可能な最大EPS(Event/Second)と最大デバイス数に応じて、5~6モデルが用意されている。

 ESシリーズは1台のアプライアンスに「収集」「管理」「分析」モジュールがすべて実装されているのに対し、LSシリーズはこれらをすべて別々のアプライアンスで処理する形だ。ESシリーズには下位モデルと上位モデルがあり、下位モデルでは標準220GBの内部ストレージを、上位モデルでは標準2.7TB、iSCSIベースのDAS(Direct Attached Storage)を利用。LSシリーズは標準3.3TBのNAS(Network Attached Storage)を利用する。


ESシリーズのシステム構成例 ESシリーズ各モデルの基本スペック

LSシリーズのシステム構成例 LSシリーズ各モデルの基本スペック

 実際にデモを見た感想だが、カスタマイズすることで企業の実環境にあった運用ができるのは便利である。GUIも基本的なメニューボタンは数が少なく、使い勝手も良い。あとはどのくらいの数のデバイスからログを取得するのかが、同製品を運用する上での肝となりそうだ。ログ管理という製品の性質上、ストレージに蓄積されるデータは毎日、止まることなく増えていく。

 たとえ圧縮性に優れているとはいえ、ストレージ容量と予測データ保持期間を考慮する必要があろう。モデルによって予測データ保持期間は異なるが、標準の容量では、15カ月持つのもあれば、2~3カ月しか持たないのもあるという。容量に収まり切らなくなったデータはどうするのか。テープデバイスに保存するのか、別のストレージに保存していくのか、そうしたことを考えておく必要がある。

 とはいえ、上記の日数は、製品の処理能力と対応デバイス数を最大に見積もって計測した場合なので、データ保持期間はもっと長いのが実際であろう。ストレージも年々安価となっている。RSAセキュリティおよびEMCジャパンからも、RSA enVisionを補完するストレージ製品は販売されており、米国では、34拠点にわたる3万デバイスから、7.6TB/年のデータをRSA enVisionに保存している事例もあるというので、事前に検討しておけば特に問題にはならないものと思われる。なお、こうした点におけるコンサルティングは販売パートナー経由で提供される。宮園氏も、「パートナーにはこうしたサービス面を期待している」とのことだ。

 RSA enVisionはすでに、7月30日から販売パートナーを通じて出荷が開始されている。宮園氏によれば評判は上々で、「これまでログ管理はシステム監視やセキュリティが主な目的だったが、最近は明らかにコンプライアンスを意識した引き合いが増えている」という。今後ますますコンプライアンスや内部統制の加熱が予想される国内において、RSAセキュリティでは、今後100社での採用、10億円の売り上げをめざす。



URL
  RSAセキュリティ株式会社
  http://japan.rsa.com/

関連記事
  ・ RSAセキュリティ、ログ管理アプライアンス「RSA enVision」(2007/07/05)


( 川島 弘之 )
2007/08/20 12:02

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.