ログはどうしたら使い物になるのか。ログを活用するための考え … · キュリティ分析、運用上のトラブルシューティングなど、幅広く活用することができます。

Infoscience Corporationwww.infoscience.co.jp

[email protected]

Tel: 03-5427-3503 Fax: 03-5427-3889

インフォサイエンス株式会社

プロダクト事業部

統合ログ管理システム「Logstorage」による

AWSシステムの監査・可視化

Copyright(C) 2015 Infoscience Corporation. All Rights Reserved. 2

Contents

1. AWSにおけるログ管理

2. 統合ログ管理システム「Logstorage」と「Logstorage for AWS」

3. AWS上のログの活用- AWS CloudTrail

- AWS Config

- Amazon CloudWatch Logs

- Billing

4. Logstorage for AWS 導入事例- cloudpack(アイレット株式会社)様- サイトロック株式会社様- インフォサイエンス株式会社

Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.

設立

1995年10月

代表者宮紀雄

事業内容

•パッケージソフトウェア「Logstorage」シリーズの開発

•データセンタ運営

•受託システム開発サービス

•包括システム運用サービス

所在地

東京都港区芝浦2丁目4番1号インフォサイエンスビル

＜開発から運用までの業務フェーズ概要＞

システム運用から生まれたパッケージソフトウェア

インフォサイエンス株式会社

3


AWS環境におけるログ管理

4


ログ管理の目的

個人情報保護法

プライバシーマーク ISO27001/ISMS

経産省/クラウドセキュリティガイドライン国際ペイメントブランド/PCI DSS

APT/標的型攻撃情報漏洩（内部犯行）サイバー犯罪捜査

様々なルールや脅威への対応のために、ログの管理が行われている

5

金融商品取引法

不正アクセス禁止法

「ログ」の管理・モニタリングは、今や情報セキュリティの中心的な対策となっている

マイナンバー/番号法


AWS上のログ取得のポイント

AWS上に点在するログと取得サービス

VPC subnet

Network ACL

Security Group

EC2 RDSELB

・・・

ManagementConsole

AWSサービスに対するアクセスログを記録

AWS CloudTrail

AWS CLI

AWS SDKApplications

AWS ConfigAWSサービスの構成変更ログを記録

AWS CloudWatch LogsEC2インスタンス内のアクセスログを記録

AWS CloudWatch Logs (VPC Flow Logs)Network ACL / Security Group の通信ログを記録

例）AWS利用グループ,ユーザの作成/削除/権限変更EC2インスタンスの作成/停止/削除AWS管理画面(Management Console)へのログイン

例）EC2インスタンスタイプの変更AIMロールの変更

例）WindowsイベントログLinux syslog (/var/log/ 配下のログ等)その他、テキストログ

・Network Interface単位でのACCEPT/REJECTログ

左記のサービスのログにより、AWS上のあらゆるアクティビティの監査

・監視が可能に!!

6


AWS上のログ分析における課題

１．ログがS3バケットに細かい単位で出力されたり、APIを利用しないと取得できないログがある。

２．ログがJSON形式で記録されるため、そのままでは使えない。

３．CloudTrail に記録されるログの種類が多岐に渡り、どのようにログを監査したらよいかわからない。

４．AWSサービスのリリーススピードが速いため、上記の課題に対して継続的に対応していかなければならない。

５．AWSサービスの意図しない動作もあり、それを回避する仕組みも一部必要。

AWSのログ関連サービスに対応するログ管理システムのニーズが高まっている

AWS上のログ分析における課題

7


「統合ログ管理」と「SIEM」

SIEM (Security Information & Event Management)

統合ログ管理（監査） SIEM（SOC）

… SIEMと言えばリアルタイムのセキュリティイベント検知を主眼にしたツールを指し、統合ログ管理ツールとは別ジャンルとされることが多い。ログの蓄積と分析に重きを置くのが統合ログ管理ツール（現在は国産製品が中心に導入が進んでいる）であり、標的型攻撃など新しい脅威への対策に有効だが長期にわたる時間軸での分析には向かないのが、現在海外製品を中心に注目されているSIEMツールと考えればよいだろう。キーマンズネット「不正行為も一目瞭然！統合ログ管理ツール」 URL : http://www.keyman.or.jp/at/30006863/


統合ログ管理システム「Logstorage」と「Logstoarge for AWS」


統合ログ管理システム「Logstorage」

10

「Logstorage」とは

出典：ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2015(統合ログ管理市場)」

9年連続市場シェアNo.11,900社への導入実績

Logstorage

46.8%

あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理システムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視、業務効率改善など、多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。


機能・システム構成

ログ収集機能

[受信機能]・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]・Agent・EventLogCollector・SecureBatchTransfer

ログ保管機能

ログ検知機能検索・集計・レポート機能

・ポリシーに合致したログのアラート・ポリシーはストーリー的に定義可能(シナリオ検知)

・ログの圧縮保存／高速検索・ログの改ざんチェック機能・ログに対する意味（タグ）付け・ログの暗号化保存・保存期間を経過したログを自動アーカイブ・ログの保存領域管理機能

・ログの検索／集計／レポート生成・検索結果に対する、クリック操作による絞込み・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)・レポートの出力形式のカスタマイズ

<Logstorage システム構成>

11


［OSシステム・イベント］・Windows

・Solaris

・AIX

・HP-UX

・Linux

・BSD

［Web/プロキシ］・Apache

・IIS

・BlueCoat

・i-FILTER

・squid

・WebSense

・WebSphere

・WebLogic

・Apache Tomcat

・Cosminexus

［ネットワーク機器］・Cisco PIX/ASA

・Cisco Catalyst

・NetScreen/SSG

・PaloAlto PA

・VPN-1

・Firewall-1

・Check Point IP

・SSL-VPN

・FortiGate

・NOKIA IP

・Alteon

・SonicWall

・FortiGate

・BIG-IP

・IronPort

・ServerIron

・Proventia

［クライアント操作］・LanScope Cat

・InfoTrace

・CWAT

・MylogStar

・IVEX Logger

・秘文・SeP

・QND/QOH

［データベース］・Oracle

・SQLServer

・DB2

・PostgreSQL

・MySQL［サーバアクセス］・ALogコンバータ・VISUACT

・File Server Audit

・CA Access Control

［データベース監査］・PISO

・Chakra

・SecureSphere DMG/DSG

・SSDB監査・AUDIT MASTER

・IPLocks

・Guardium

［メール］・MS Exchange

・sendmail

・Postfix

・qmail

・Exim［ICカード認証］・SmartOn

・ARCACLAVIS Revo ［その他］・AWS CloudTrail

・AWS Config

・AWS CloudWatch Logs

・VMware vCenter

・SAP R/3 (ERP)

・NetApp (NAS)

・ex-SG (入退室管理)

・MSIESER

・iSecurity

・Desk Net’s

・HP NonStop Server

…その他

［運用監視］・Nagios

・JP1

・Systemwalker

・OpenView

［アンチウィルス］・Symantec AntiVirus

・TrendMicro InterScan

・McAfee VirusScan

・HDE Anti Vuris

［Lotus Domino］・Lotus Domino

・Notes AccessAnalyzer2

・Auge AccessWatcher

［複合機］・imageRunner

・Apeos

・SecurePrint!

ログ収集実績／連携製品

日本国内で利用されているソフトウェア・機器を中心に250種以上のログ収集実績

12

Amazon Web Service SKYSEA Client View

LanScope Cat SecureCube / AccessCheck

CWAT Sendmail

InfoTrace Auge AccessWatcher

MylogStar IVEX Logger シリーズ

i-FILTER MaLion3

SecurePrint! VISUACT

Chakra File Server Audit

SSDB監査監査れポータル

AUDIT MASTER PISO

Palo Alto Networks next-generation firewalls

【Logstorage アライアンス製品】


AWSに特化した『Logstorage for AWS』

Logstorage for AWSは、AWS上で生成されるあらゆるログデータを「収集・解析」「保管」「検索・分析」「レポート」するための、統合ログ管理ツールです。 AWS上のリソースのライフサイクルの管理、コンプライアンス準拠、セキュリティ分析、運用上のトラブルシューティングなど、幅広く活用することができます。

収集・解析保管

・ログの圧縮保存／高速検索機能・ログの暗号化／改ざんチェック機能・ログの自動アーカイブ機能

検索・分析

・ログの検索／集計／レポート・検索結果からクリック操作による絞込み・レポートの定期自動出力

・AWSの各サービスからのログ自動収集・JSON形式のログの解析／変換

13


AWS上のログの活用

- AWS CloudTrail

- AWS Config


- Billing

14


AWS CloudTrail

AWS CloudTrail は、アカウントの AWS API の呼び出しを記録し、ログファイルを送信するウェブサービスです。記録される情報には、API 呼び出し元の ID、API 呼び出し元のソース IP アドレス、リクエストのパラメータ、および AWS サービスから返された応答の要素が含まれます。

CloudTrail を使用すると、アカウントの AWS API の呼び出し履歴を取得できます。履歴には、AWS マネジメントコンソール、AWS SDK、コマンドラインツールを使用した API の呼び出しが含まれます。 https://aws.amazon.com/jp/cloudtrail/

Logstorage for AWS でのログ収集方式

AWS CloudTrail とは

(収集方式1)CloudTrailの通知を利用

(収集方式2)S3のPutイベントを利用


AWS CloudTrail ログのモニタリング観点

Logstorage for AWS – CloudTrail レポート例

16

・CloudTrail の停止／削除／設定変更

・EC2の作成／意図しないEC2のTerminate

・ユーザアカウントの作成

・IAMポリシーの付与／削除

・AWS Management Consoleログイン

・NetWorkACLの変更／ポートの解放

・Security Groupの変更／ポートの解放

・ネットワーク構成の変更

・意図しない接続元からのアクセス

・特権ユーザでのアクセス

・許可されていない権限のアクセス

………

基準ルール

突合せ


レポート例

承認されていないインスタンスの生成・起動は無いか

誤ったインスタンスの停止は無いか

管理コンソールに、不正にアクセスされていないか

誤ったインスタンスの削除は無いか


レポート例

誤ってオブジェクトが削除されていないか

承認されていないオブジェクトが生成されていないか

不明な接続元は無いか?

承認されていないユーザからのアクセスは無いか



- AWS CloudTrail

- AWS Config


- Billing

19


AWS Config Partner - Logstorage

AWS Config Partner / AWS Official Blog にて紹介

URL: http://aws.amazon.com/jp/config/partners/logstorage/


AWS Config

AWS Config とは、セキュリティとガバナンスを可能にする構成変更の通知、構成履歴、AWS リソースのインベントリーをお客様へ提供する完全マネージド型のサービスです。AWS Config から、既存の AWS リソースの検出、設定の詳細をすべて含めたお客様の AWS リソース一覧表のエクスポートが可能となり、どの時点でどのようにリソースが設定されたかを確認できます。これらの機能は、コンプライアンス監査、セキュリティ分析、リソース変更の追跡、トラブルシューティングを可能にします。 https://aws.amazon.com/jp/config/


AWS Config とは


構成スナップショットレポートサンプル（開発中）

リソース関連図レポート

スナップショットをわかりやすく図示一目でAWSの構成が把握可能

22



リソース関連図レポート【Logstorage for AWS 新機能】

23



リソース関連図レポートに出力可能なオブジェクト

24

分類オブジェクト

Amazon EC2 EC2インスタンス

EC2 Network Interface

EC2 Elastic IP

Amazon VPC カスタマーゲートウェイ

インターネットゲートウェイ

ルートテーブル

サブネット

VPC

VPNゲートウェイ

VPN接続

Amazon EBS 汎用(SSD)ボリューム

プロビジョンド IOPS(SSD)ボリューム

マグネティックボリューム

RDS / ELB / Auto Scalingグループは?



- AWS CloudTrail

- AWS Config


- Billing

25


Amazon CloudWatch Logs

Amazon CloudWatch Logs を使用して、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS CloudTrail、またはその他のソースのログファイルの監視、保存、アクセスができます。その後、Amazon CloudWatch コンソール、AWS CLI の CloudWatch Logs コマンド、CloudWatch Logs API、または CloudWatch Logs SDK を使用して、CloudWatch Logs から関連ログデータを取得できます。


Amazon CloudWatch Logs とは

http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatchLogs.html

VPC Flow Logs


Amazon CloudWatch Logs ログのモニタリング

Amazon CloudWatch Logs ログのモニタリング観点

27

・通信のACCEPT/REJECT

・REJECTされたプロトコル

・REJECTされた接続元IPアドレス

・REJECTされた通信／ポート

・時系列での通信バイト数（全体・Interface毎）

・時系列での通信パケット数（全体・Interface毎）

基準ルール

過去の利用状況

突合せ

・イベントログの消去・権限昇格履歴

・システム時刻変更・管理者権限の操作

・パスワード変更履歴・ログイン成功／失敗

・監査ポリシー変更履歴 ………

【Windows/Linux】

【VPC Flow Logs】

突合せ

※その他、各種テンプレートの利用が可能


VPC Flow Logs レポート例／REJECT

どのような通信先/ポートにREJECTされた通信があったか

REJECTされた通信の接続元は?

REJECTされた通信のプロトコルは?(1-ICMP / 6-TCP / 17-UDP)

REJECTされた通信

ACCEPT/REJECTの比率は?(REJECT通信が異常に多く無いか)


VPC Flow Logs レポート例／通信量

全体の通信バイト数（時系列）

全体の通信パケット数（時系列）

Network-Interface毎の通信バイト数（時系列）

Network-Interface毎の通信パケット数

（時系列）



- AWS CloudTrail-

- AWS Config


- Billing

30


Billing ログ分析【Logstorage for AWS 新機能】

31

AWSの利用料金をサービス毎に可視化

AWSのBillingデータを利用し、利用金額の観点から、AWSサービスの利用状況を把握する。

・既に利用していないサービスで料金が発生していないか把握し不要なサービスを止める。

・インスタンスタイプ毎の利用コストを把握し、リザーブドインスタンスに変更する。

・部署／ユーザ単位での利用金額を把握し、適切な費用配賦を行う。


Logstorage for AWS 導入事例

[事例1] cloudpack(アイレット株式会社)様

[事例2] サイトロック株式会社様

[事例3] インフォサイエンス株式会社

32


[事例1] cloudpack(アイレット株式会社)様

33

ログ収集対象

ルータ

スイッチ

認証サーバ

踏み台サーバ

NATインスタンス

セキュリティ端末

その他、セキュリティ管理サーバ

全顧客の AWS CloudTrail ログ

全顧客の AWS Config ログ

ログ収集対象

Logstorage導入目的

・各種セキュリティ認証の取得(PCI DSS / ISO27001)

・SOC2 への取り組み

・上記への対応を通じ、セキュリティへの取り組みについて客観的な評価に基づく透明性の確保、高度なセキュリティ体制の実現

認証サーバ Logstorage

その他管理サーバ

踏み台サーバ

社内インフラVPC

ルータ VPN装置

閉塞網 Internet

セキュリティ端末

東京拠点

ルータ

東品川データセンター

Direct Connect(専用線接続)

セキュリティネットワーク

Customergateway

Logstorage導入環境


[事例1] cloudpack様のコメント

34

○SOC 2報告書

【S3 Put Eventを利用したCloudTrailログの収集】

【PCI DSSレポートテンプレート（一部）】

○PCI DSS認証

『無償で提供されるLogstorageのPCI DSSテンプレートには、テンプレートが対応するPCI DSS要件番号が記載されており、監査がスムーズに進んだ』

『Logstorageは、PCI DSSで求められるログの暗号化と改ざん検出に標準機能で対応しており、別の製品と組み合わせる必要なく対応できた』

『結果、PCI DSS認証取得において、ログに関する指摘事項は無かった』

『Logstorageを利用したログの一元管理はSOC2対応でも踏襲した。AWSを対象としたフルマネージドサービス事業で、国内で初めてSOC 2報告書を受領した。』

『LogstorageはAMIでも提供されるため、インストールには殆ど手間が掛からなかった』

『多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対応は助かった。』

○その他


[事例2] サイトロック株式会社様2015年9月10日より

サービス開始

35


[事例2] サイトロック株式会社様

36


[事例3] インフォサイエンス株式会社

Console

LogGate

運用担当者操作端末

Gateway

ManagerEC2インスタンス

LogGate

VPNconnection

お客様A

EC2インスタンス

お客様B

インフォサイエンスデータセンター

お客様サーバ（運用監視対象サーバ）

ログ

ログ

ログデータ連携

監査担当者操作端末

・データセンター内のサーバ、及びAWS上のEC2インスタンスに対するメンテナンスは、全てAccessCheck上での申請・承認を経て、AccessCheckのゲートウェイ経由でアクセスする。

⇒ 承認が無いアクセスは許可しない

・データセンターのサーバ、ネットワーク機器、AccessCheck、及びAWS上のEC2インスタンスのログをLogstorageに収集・統合管理し、日次で監査。

⇒ AccessCheckゲートウェイを経由しない、違反アクセスなども監査

・データセンター内のログと、AWS上のログを統合管理し、1つのLogstorageコンソールにて透過的にログを監査する。

⇒ ハイブリッド環境においても、ログの監査を容易に

Logstorage + AccessCheck によるハイブリッド環境でのアクセス管理・ログ管理

インフォサイエンス株式会社が提供する「包括的システム運用サービス」。 SecureCube AccessCheck + Logstorageを導入する事で、インフォサイエンスが自社データセンター内で預かるお客様サーバ、及びAWS上のEC2インスタンス等の運用をより安全に、セキュアに行うことで、各種コンプライアンス要求に対応

ログ

Firewall

ログ

Firewall /VPNAccessCheck

37


お問い合わせ先

www.logstorage.com

試用版のお申込み

Logstorage

http://www.logstorage.com/trial/ami_trial.html

http://www.logstorage.com/

インフォサイエンス株式会社プロダクト事業部

TEL 03-5427-3503 FAX 03-5427-3889

mail : [email protected]

Logstorage に関するお問い合わせ

38

Logstorage for AWS

http://www.logstorage.com/aws/

・LogstorageによるPCI DSS要件10への対応例

・Logstorageによる制御システムセキュリティ対策

・標的型メール攻撃分析・監視例

・突合レポートテンプレート

・マイナンバー対策で求められる現実的なログ管理

・ストレージのアクセス監査から始める統合ログ管理

・統合ログ管理によるIT統制の実現とその具体的事例

… その他、50を超える参考資料・情報を公開中！

ログ管理資料

http://www.logstorage.com/product/product_materials.htmlhttp://www.logstorage.com/seminar/materials.html


AWS Test Drive プログラム

URL: http://aws.amazon.com/jp/testdrive/japan/security/

AWS Test Drive は、事前設定済みのアプリケーション動作環境を提供するサービス。ユーザアカウントを登録することにより、Logstorage for AWS を無料で、シナリオに沿って試用する事ができる。

AWS Test Drive プログラムとは

39


END

『統合ログ管理システム「Logstorage」によるAWSシステムの監査・可視化』

2015/9/16

インフォサイエンス株式会社プロダクト事業部

稲村大介

Documents

ログはどうしたら使い物になるのか。 ログを活用するための考え … · キュリティ分析、運用上のトラブルシューティングなど、幅広く活用することができます。

ログはどうしたら使い物になるのか。ログを活用するための考え … · キュリティ分析、運用上のトラブルシューティングなど、幅広く活用することができます。