 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||
|
ログ管理の未来像に迫る-コンプライアンスに威力を発揮するRSA enVision |
||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||
|
RSAセキュリティ・宮園氏に聞く
|
||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||
その対策として、RSAセキュリティ株式会社が2007年7月30日より提供開始したのが、統合ログ管理プラットフォーム「RSA enVision」。コンプライアンスなどにおいては特に重要なログ管理だが、既存のソリューションにはまだまだ課題も多いとされる。RSA enVisionでは従来にない画期的な特長でそうした課題を克服し、コンプライアンスや内部統制が本格化するこれからの時代に最適なログ管理が実現できるという。その根拠を探るべく、同製品の詳細について、マーケティング本部長の宮園充氏に話を聞いた。
■ コンプライアンスに威力を発揮するRSA enVision
その具体的な原因について宮園氏は、「企業内のシステムを構成するネットワーク機器、セキュリティ機器、ファイルサーバー、データベース(DB)サーバー、アプリケーションサーバーなどのコンポーネントが、それぞれ運用目的やベンダーを異にしているためではないか。さらに、それらの機器が別々の管理者によって管理されているケースもあり、包括的に企業システム全体を制御していくのが困難になってしまっているのではないか」といった点を指摘している。 こうした課題を解決するには、より柔軟で確実なログ管理が求められる。同社が「コンプライアンスの証明に威力を発揮する製品」と表現するRSA enVisionでは、実装された高性能な専用DB「LogSmart Internet Protocol Database(以下、LogSmart IPDB)」により、そうした要件を満たすことが可能なのだという。特長は、同社の検証結果からも歴然としているように「高い処理能力」と「高圧縮性」の2点。これらにより、従来のリレーショナルデータベース(RDB)を採用したログ管理ソリューションでは不可能だった“100%のログ収集”を実現したことが、「コンプライアンスの証明に威力を発揮する」という言葉の根拠となる。 ■ 95%の圧縮率でログデータを余すことなく収集
実はこれが、RDBを採用しているログ管理ソリューションの一番の欠点といえるのだ。「コンプライアンスという視点で見た場合、ログ管理で最も重要なことは、必要なときに必要なデータの分析が確実に行える点に尽きる。フィルタリングすることで、パフォーマンスの問題は解決できるかもしれないが、いざ分析しようとしたときに必要なデータが不足してしまう危険性も出てきてしまう。実際そうした事例はいくつもあり、米国でログ管理がうまくいかない理由として、不適切なログ管理が挙がっている原因の1つとなっている」(同氏)。 一方のRSA enVisionでは、一切フィルタリングを行わない。ネットワーク層、セキュリティ層、ホスト層、アプリケーション層、およびストレージ層にわたって、企業内のログデータを100%余すことなく収集する。そのため「担当者は、すべてのイベント情報から必要十分な報告書を作成可能」(同氏)で、それがRSA enVisionの最大の特徴といえる。 これを可能にしているものこそが、処理能力と圧縮性に優れたLogSmart IPDB。宮園氏によると、その圧縮率はおよそ95%にも及ぶという。高い圧縮性により、構造化するために余分なデータを追加してもなお、フィルタリングすることなく、オリジナルのままログデータをすべて保存していくことができるのだ。 処理能力にも優れるため、大容量のログデータを保存しながら並列して分析することも可能。ログ分析というと、トラブル発生時に事後対応の一環といったように、過去にさかのぼるイメージが強い。RSA enVisionでは、並列処理によるリアルタイム分析が可能なため、「事後対応だけでなく、能動的なセキュリティ対策としても有効」(同氏)とのことだ。 ■ 標準対応デバイスは130種、それ以外はUDSでサポート ログの収集は専用の「ログ収集モジュール」が行う。同モジュールがそれぞれのプロトコルを解釈するため、対象となるデバイスに特別なエージェントを入れる必要がない。プロトコルとしては、SyslogやSNMP、ODBC、XML、Windows API、CheckPoint OPSEC interfaceなどに対応。管理対象デバイスとしては、オープンソースのほかにベンダ特有の製品も含めたおよそ130種類を標準でサポートする。これ以外にERP製品など現状では対応していないものについても、プロトコルの解釈方法をXMLベースで記述する「ユニバーサル・デバイス・サポート(UDS)」にて対応させることが可能。このため、実質的にほとんどすべての環境に対応すると宮園氏は話す。
■ 強力なGUIとテンプレートで相関分析も自由自在 多くの管理対象デバイスからフィルタリングを一切行わずにログ収集を行うため、RSA enVisionには膨大なログデータが蓄積されることになる。それだけを聞くと、分析作業が大変なのではないかといった印象を受けるが、RSA enVisionには分析を強力に支援するGUIが用意されている。ログ表示やレポート出力の条件をカスタマイズできるほか、相関分析のような複雑な条件も柔軟に設定できるため、多面的な分析も容易に行うことが可能なのである。GUIとしては、RSA enVision上に直接アクセスするWebベースのものと、ログデータをローカルにダウンロードして利用するクライアントベースのものがある。サマリーの把握やリアルタイムの状況確認がしたい場合はWebベース、より詳細に条件を指定して状況確認がしたい場合はクライアントベース、といったように使い分ける具合だ。 WebベースのGUIの画面構成は、大きく分けて「Overview」「Alerts」「Analysis」「Reports」の4つ。Overview画面では、ダッシュボードでログやアラートの内容を視覚的に確認できる。Alerts画面では、それよりさらに詳細なアラート状況が表示される。例えば、複数拠点にまたがってRSA enVisionを配置している場合は、地域ごとのアラート状況を世界地図などを使って直感的に表現してくれる。Alalysis画面では、デバイスやアラートのタイプや時間軸を指定することで、蓄積された膨大なログの中から、任意の内容のものだけをより分けて表示できる。
Reports画面では、指定したスケジュール、または任意のタイミングでレポートを生成できる。800種類にも及ぶ豊富なレポートテンプレートも特長で、各種法令に準拠したものをはじめ、ネットワーク機器、セキュリティ機器、データベースといったようにシステムの用途ごとに分類されたものが用意されている。これにより、必要な情報を即座にレポート化することが可能だ。 相関分析に関しても、あらかじめ80種類ほどのルールテンプレートが用意されている。相関分析とは、例えば、「機器01」または「機器02」で「現象01」が確認され、かつ「機器03」で10件以上の「現象02」が見られた場合に、管理者に「アクション01」をする、というように、複数の機器にまたがる複雑な条件を定義できるものだ。ルールテンプレートにはあらかじめ、機器や現象、アクションなどの条件が定義されており、それらをカスタマイズしてOR条件やAND条件などで連ねていくことが可能。Ciscoのスイッチ、など具体的な製品で指定できるため、企業のIT環境に応じた適切な相関分析ルールが作成できる。
■ コンプライアンスの影響で引き合いは上々 製品ラインアップとしては、単体導入用のESシリーズと複数拠点にまたがる導入用のLSシリーズの大きく2種類。両シリーズともに対応可能な最大EPS(Event/Second)と最大デバイス数に応じて、5~6モデルが用意されている。ESシリーズは1台のアプライアンスに「収集」「管理」「分析」モジュールがすべて実装されているのに対し、LSシリーズはこれらをすべて別々のアプライアンスで処理する形だ。ESシリーズには下位モデルと上位モデルがあり、下位モデルでは標準220GBの内部ストレージを、上位モデルでは標準2.7TB、iSCSIベースのDAS(Direct Attached Storage)を利用。LSシリーズは標準3.3TBのNAS(Network Attached Storage)を利用する。
実際にデモを見た感想だが、カスタマイズすることで企業の実環境にあった運用ができるのは便利である。GUIも基本的なメニューボタンは数が少なく、使い勝手も良い。あとはどのくらいの数のデバイスからログを取得するのかが、同製品を運用する上での肝となりそうだ。ログ管理という製品の性質上、ストレージに蓄積されるデータは毎日、止まることなく増えていく。 たとえ圧縮性に優れているとはいえ、ストレージ容量と予測データ保持期間を考慮する必要があろう。モデルによって予測データ保持期間は異なるが、標準の容量では、15カ月持つのもあれば、2~3カ月しか持たないのもあるという。容量に収まり切らなくなったデータはどうするのか。テープデバイスに保存するのか、別のストレージに保存していくのか、そうしたことを考えておく必要がある。 とはいえ、上記の日数は、製品の処理能力と対応デバイス数を最大に見積もって計測した場合なので、データ保持期間はもっと長いのが実際であろう。ストレージも年々安価となっている。RSAセキュリティおよびEMCジャパンからも、RSA enVisionを補完するストレージ製品は販売されており、米国では、34拠点にわたる3万デバイスから、7.6TB/年のデータをRSA enVisionに保存している事例もあるというので、事前に検討しておけば特に問題にはならないものと思われる。なお、こうした点におけるコンサルティングは販売パートナー経由で提供される。宮園氏も、「パートナーにはこうしたサービス面を期待している」とのことだ。 RSA enVisionはすでに、7月30日から販売パートナーを通じて出荷が開始されている。宮園氏によれば評判は上々で、「これまでログ管理はシステム監視やセキュリティが主な目的だったが、最近は明らかにコンプライアンスを意識した引き合いが増えている」という。今後ますますコンプライアンスや内部統制の加熱が予想される国内において、RSAセキュリティでは、今後100社での採用、10億円の売り上げをめざす。 ■ URL RSAセキュリティ株式会社 http://japan.rsa.com/ ■ 関連記事 ・ RSAセキュリティ、ログ管理アプライアンス「RSA enVision」(2007/07/05)
( 川島 弘之 )
|
