Logstorage」によるAWSシステムの監査・可視化 Corporation [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889 統合ログ管理システム「Logstorage」によるAWSシステム

Infoscience Corporationwww.infoscience.co.jp

[email protected]

Tel: 03-5427-3503 Fax: 03-5427-3889

統合ログ管理システム「Logstorage」によるAWSシステム

の監査・可視化

2016/9/28インフォサイエンス株式会社

プロダクト事業部

Copyright(C) 2016 Infoscience Corporation. All Rights Reserved.

インフォサイエンス株式会社概要

2

設立

1995年10月

代表者宮紀雄

事業内容

•パッケージソフトウェア「Logstorage」シリーズの開発

•データセンタ運営

•受託システム開発サービス

•包括システム運用サービス

所在地

東京都港区芝浦2丁目4番1号インフォサイエンスビル

＜開発から運用までの業務フェーズ概要＞

システム運用から生まれたパッケージソフトウェア


Agenda

1. サイバーセキュリティ近況とAWS

2. 統合ログ管理製品「Logstorage」とAWS上のログ管理製品「Logstorage for AWS」

3. AWSシステムに対する監査の課題と対策

4. Logstorage for AWS 導入事例

5. マルチクラウド環境の可視化

3







4


標的型攻撃の脅威

5

標的型攻撃は増加傾向

0

1000

2000

3000

4000

5000

6000

7000

8000

9000

2012 2013 2014 2015 2016

（警察庁「平成27年におけるサイバー空間をめぐる脅威の情勢について」より）

2015年日本年金機構個人情報125万件流出

2016年某大手旅行代理店個人情報793万件流出

標的型攻撃の増加、手口の進化

手口も巧妙化

• 標的型攻撃の入口はマルウェアに感染したメールが多い

• 従来はメールが英語だったり、怪しい日本語だったが・・・

• 昨今の事例では、メールの本文も巧妙化し、受信者が怪しまずに添付ファイルを実行してしまう事例も多い

• 日本年金機構の事例でも、業務関連のタイトルや添付ファイル名だった


標的型攻撃対策の現状

6

入口・出口対策では防ぎきれなくなりつつある

• ターゲットに対する巧妙なカスタマイズが為されたマルウェア・メール

• 執拗な繰り返し・長期間の攻撃（APT攻撃）

• 従来のアンチウイルスソフトでは防御しきれない状況に陥りつつある

AWSを始めとするパブリッククラウドも例外ではない


後を立たない内部情報漏えい

7

内部関係者による情報持ち出しも依然発生

発表時期企業／組織件数

2014年7月某教育関連企業約2260万件

2015年4月医療機関非公開

2015年6月某株主向けウェブサービス約10,000件

2015年9月地方自治体約68万件



依然として内部関係者による情報持ち出し、漏えい事件が後を絶たない

2014～2015年に発生した主な内部犯による情報漏えい事件


内部情報漏えい対策

8

内部犯による情報漏えい対策の困難さ

• 情報漏えい事件の原因の大半は・・・• 重要情報に対するアクセス権を持つ人間の犯行• アクセス制御設定の誤り、漏れ

• アクセス権を持つ人間のモラルに期待する？• 設定ミスを減らすことは出来るが、完全になくすことは難しい


従来の脅威対策

9

従来の対策は「入口・出口」でのポイントの対策

外部攻撃者

C&Cサーバ

ファイルサーバ

社員・職員

悪意のある社員・職員

アンチウイルスで防御

プロキシ・ファイアウォールで外部通信の制限

従来はネットワークの入口・出口での防御や制限が中心だったが・・・

アクセス制御で不正なアクセス

の制限


従来の脅威対策の弱点

10

「入口・出口」の限界

外部攻撃者

C&Cサーバ


社員・職員


マルウェアの進化で検知出来ない

設定ミス、巧妙な隠蔽で制限出来ない

正当なアクセス権、設定ミスによるアクセスの

許可

入口・出口での個別の対策は限界に到達してきている


脅威対策の変化

11

標的型攻撃、内部漏えい対策のトレンドが変わる

• 入口・出口で防ぐよりも、「侵入されること」「ミスがあること」を前提とした対策にシフト

• 攻撃を受けていること、情報の持ち出しが発生していることをいち早く検出し、迅速な対応を取ることが必要

• 被害が発生した場合でも、被害の規模を把握、報告することが求められている

システムのログを横断的に収集し、モニタリングを行うことが対策の中心


近日の脅威対策

12

ログのモニタリングを中心とする対策

外部攻撃者

C&Cサーバ


社員・職員


メール通信ログ

外部への通信ログ

ファイルサーバへのアクセスログ

ログを横断的に収集

様々な箇所のログから状況を把握し、必要な対策を行うことが重要


ガイドラインへの準拠

13

各種ガイドラインでも、ログの収集／保管が重要視されている

特定個人情報の適正な取扱いに関するガイドライン（事業者編）（マイナンバー／番号法）

ｂ取扱規程等に基づく運用取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する

PCI DSS / Payment Card Industry Data Security Standard（クレジットカード取り扱いシステムのセキュリティ基準）

10.6 すべてのシステムコンポーネントのログとセキュリティイベントを調べ、異常や怪しい活動を特定する。

ガイドラインやセキュリティ基準にもシステムのログ管理要件が明記されている


AWSの共有責任モデル

14

AWSを利用する上でのユーザが負担すべき責任

・ユーザのデータ・アプリケーション・セキュリティグループ・OS

・アカウント管理・ネットワーク設定・OSファイアウォール

・ファシリティ・物理セキュリティ・物理インフラ

・ネットワークインフラ・仮想インフラ

ユーザが管理

AWSが管理

AWSの責任共有モデル

AWSシステムのセキュリティはユーザも責任を負う必要がある

ここのログはユーザが管理する必要がある

各種法令／ガイドラインへの準拠の際にも注意が必要







15


Logstorage ご紹介

16

あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理システムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視、業務効率改善など、多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。

出典：ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2015(統合ログ管理市場)」

9年連続市場シェアNo.1

「Logstorage」とは

Logstorage

46.8%


機能・システム構成

17

ログ収集機能

[受信機能]・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]・Agent・EventLogCollector・SecureBatchTransfer

ログ保管機能

ログ検知機能検索・集計・レポート機能

・ポリシーに合致したログのアラート・ポリシーはストーリー的に定義可能

(シナリオ検知)

・ログの圧縮保存／高速検索・ログの改ざんチェック機能・ログに対する意味（タグ）付け・ログの暗号化保存・保存期間を経過したログを自動アーカイブ・ログの保存領域管理機能

・ログの検索／集計／レポート生成・検索結果に対する、クリック操作による絞込み・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)・レポートの出力形式のカスタマイズ

<Logstorage システム構成>


ログ収集実績／連携製品

18

日本国内で利用されているソフトウェア・機器を中心に250種以上のログ収集実績

［OSシステム・イベント］・Windows

・Solaris

・AIX

・HP-UX

・Linux

・BSD

［Web/プロキシ］・Apache

・IIS

・BlueCoat

・i-FILTER

・squid

・WebSense

・WebSphere

・WebLogic

・Apache Tomcat

・Cosminexus

［ネットワーク機器］・Cisco PIX/ASA

・Cisco Catalyst

・NetScreen/SSG

・PaloAlto PA

・VPN-1

・Firewall-1

・Check Point IP

・SSL-VPN

・FortiGate

・NOKIA IP

・Alteon

・SonicWall

・FortiGate

・BIG-IP

・IronPort

・ServerIron

・Proventia

［クライアント操作］・LanScope Cat

・InfoTrace

・CWAT

・MylogStar

・IVEX Logger

・秘文・SeP

・QND/QOH

［データベース］・Oracle

・SQLServer

・DB2

・PostgreSQL

・MySQL

［サーバアクセス］・ALogコンバータ・VISUACT

・File Server Audit

・CA Access Control

［データベース監査］・PISO

・Chakra

・SecureSphere DMG/DSG

・SSDB監査・AUDIT MASTER

・IPLocks

・Guardium

［メール］・MS Exchange

・sendmail

・Postfix

・qmail

・Exim［ICカード認証］・SmartOn

・ARCACLAVIS Revo［その他］・VMware vCenter

・SAP R/3 (ERP)

・NetApp (NAS)

・ex-SG (入退室管理)

・MSIESER

・iSecurity

・Desk Net’s

・HP NonStop Server

…その他

［運用監視］・Nagios

・JP1

・Systemwalker

・OpenView

［アンチウィルス］・Symantec AntiVirus

・TrendMicro InterScan

・McAfee VirusScan

・HDE Anti Vuris

［Lotus Domino］・Lotus Domino

・Notes AccessAnalyzer2

・Auge AccessWatcher

［複合機］・imageRunner

・Apeos

・SecurePrint!

【Logstorage アライアンス製品】

LanScope Cat SecureCube / AccessCheck

CWAT Sendmail

InfoTrace Auge AccessWatcher

MylogStar IVEX Logger シリーズ

i-FILTER MaLion

SecurePrint! VISUACT

Chakra File Server Audit

SSDB監査 PISO

AUDIT MASTER SKYSEA Client View

Palo Alto Networks NGFW AWS

Microsoft Azure


Logstorage for AWS ご紹介

19

収集・解析

保管

• 圧縮／暗号化保存機能（最大10分の1に圧縮）

• 改ざんチェック機能• 自動タグ付け機能• 自動アーカイブ機能（S3へのアーカイブ転送）

検索・分析

• ログの検索／集計／レポート機能

• クリック操作による絞込み機能

• ログ横断検索／分析機能• レポートの定期自動出力• AWSログ分析用分析テンプレート

• AWSの各サービスからのログ自動収集機能

• JSON形式のログの解析／変換機能

※通常のLogstorageにアドオンして利用する「Logstorage連携パック for AWS」もご提供しております。

Logstorage for AWS 構成AWSに特化した『Logstorage for AWS』







20


AWSのログ関連サービス

21

AWS上に点在するログと取得サービス

VPC subnet

Network ACL

Security Group

EC2 RDSELB

・・・

AWSサービスに対するアクセスログを記録

AWS CloudTrail

AWS ConfigAWSサービスの構成変更ログを記録

AWS CloudWatch LogsEC2インスタンス内のアクセスログを記録

AWS CloudWatch Logs (VPC Flow Logs)Network ACL / Security Group の通信ログを記録

例）AWS利用グループ,ユーザの作成/削除/権限変更EC2インスタンスの作成/停止/削除AWS管理画面(Management Console)へのログイン

例）EC2インスタンスタイプの変更IAMロールの変更

例）WindowsイベントログLinux syslog (/var/log/ 配下のログ等)その他、テキストログ

・Network Interface単位でのACCEPT/REJECTログ

AWSConfig

Amazon CloudWatch Logs

AWSCloudTrail


パブリッククラウド固有の問題

22

パブリッククラウドならではの課題

• ネットワーク、インスタンスが環境構築後も自由に追加・削除が可能なため、クラウド上のシステム構成を把握しづらい

• そもそもサービスのログはどこにあるのか？どうやってログを取得する？

• ログのフォーマットは？

• クラウド上のストレージにログを保管しておくだけでもコストが掛かる


gzipファイルに含まれる複数のイベントの取得 APIを実装しないと読めない、etc...

課題1：多様なログの出力方法

23

AWSのログ出力は意外と複雑

AWSCloudTrail

S3 bucket

AWS CloudTrail のログ出力

.gz形式で出力 1ファイルに複数のイベント

AWS CloudWatch Logs のログ出力

サービスによって異なるログ出力方式に対応する必要がある

Amazon CloudWatch

CloudWath Logs 内部で保持 APIで取得する必要あり

API


対策1：多様なサービスへの対応

24

AWSの各サービスに合わせたログ取得を実装

AWS CloudTrailからのログ取得 AWS Config からの状態取得

AWS CloudWatch Logs からのログ取得

ユーザの実装なしにAWSの多様なログを取得可能です！

AWSの各種サービスに合わせたログ取得機能を実装しております。


課題2：ログがJSON形式で記録

25

AWSの各種サービスのログは「JSON」形式で保存されます

{"Records": [{

"eventVersion": "1.0","userIdentity": {

"type": "IAMUser","principalId": "EX_PRINCIPAL_ID","arn": "arn:aws:iam::123456789012:user/Alice","accessKeyId": "EXAMPLE_KEY_ID","accountId": "123456789012","userName": "Alice"

},"eventTime": "2014-03-06T21:22:54Z","eventSource": "ec2.amazonaws.com","eventName": "StartInstances","awsRegion": "us-west-2","sourceIPAddress": "205.251.233.176",...

例：CloudTrail EC2インスタンス起動時のログ

JSON形式はソフトウェアの処理には向いているが、目視での確認には向

いていない。

単一のイベントであれば何とか読めるが、1日あたり数十以上のイベントを目視で監査することが出来るか？


対策2：可読性の高い表示に変換

26

Logstorage for AWS を用いることで、人間が見やすい形式に変換

JSONを人間が見やすい形式に変換、必要な要素を一覧化して表示することが可能です！

（Logstorage検索結果画面）


課題３：ログ保管のコスト

27

ログを保管しておくことはコストが掛かる

1日にシステム全体で10GBのログが出力される場合10GB × 365(日) = 3,650 GB 必要

ログの保存期間に応じて期間は増減する例：PCIDSS 最低1年以上保存が必要

AWS EBS 上に保存する場合・・・st1（Throughput Optimized）で計算すると（4,000GBで計算）$180/月、年額で $2,160 必要になる（2016年7月現在）

最近話題のSIEMは元ログに対して、更にインデックス用の容量が追加で必要

ログをそのまま保管しておくことはコストが掛かってしまう


対策３：ログの圧縮保存

28

Logstorageは圧縮可能、S3にもコマンドで移動可能

ログを低コストで保管可能、安価に運用が可能

LogDS

Amazon EC2

Amazon CloudWatch

AWSCloudTrail

最大 10分の1 に圧縮

圧縮状態のままで利用可能

AmazonS3

Amazon Glacier

オフライン化したデータをS3に保存可能

必要に応じてリストアすることで、古いオフラインデータも再度検索可能になる

ログ

ログ

ログ


課題４：構成のイメージが難しい

29

AWS マネジメントコンソールでは、EC2やVPCの構成の把握が大変

AWSマネジメントコンソールを見て、即座にVPC、ネットワークやEC2インスタンス、EBS等の構成を把握するのは困難


対策４：AWS構成の可視化

30

VPC、EC2の構成を可視化、イメージ化することが重要

AWS上のEC2インスタンスを始めとするオブジェクトをわかりやすく表示することが可能







31


[事例1] AWS上でのルール準拠

32

ログ収集対象

ルータ

スイッチ

認証サーバ

踏み台サーバ

NATインスタンス

セキュリティ端末

その他、セキュリティ管理サーバ

全顧客の AWS CloudTrailログ

全顧客の AWS Config ログ

ログ収集対象

Logstorage導入目的

各種セキュリティ認証の取得(PCI DSS / ISO27001)

SOC2 への取り組み上記への対応を通じ、セキュリ

ティへの取り組みについて客観的な評価に基づく透明性の確保、高度なセキュリティ体制の実現

Logstorage導入環境

認証サーバ Logstorage

その他管理サーバ

踏み台サーバ

社内インフラVPC

ルータ VPN装置

閉塞網 Internet

セキュリティ端末

東京拠点

ルータ

東品川データセンター

Direct Connect(専用線接続)

セキュリティネットワーク

Customergateway


[事例1] cloudpack様コメント

33

○SOC 2報告書

○PCI DSS認証

『Logstorageは、PCI DSSで求められるログの暗号化と改ざん検出に標準機能で対応しており、別の製品と組み合わせる必要なく対応できた』

『結果、PCI DSS認証取得において、ログに関する指摘事項は無かった』

『Logstorageを利用したログの一元管理はSOC2対応でも踏襲した。AWSを対象としたフルマネージドサービス事業で、国内で初めてSOC 2報告書を受領した。』

『LogstorageはAMIでも提供されるため、インストールには殆ど手間が掛からなかった』

『多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対応は助かった。』

○その他

cloudpack（アイレット株式会社）様から頂いたコメント

https://www.google.co.jp/imgres?imgurl=http://creditcard-diary.com/wp/wp-content/uploads/2015/10/pci-dss.png&imgrefurl=http://creditcard-diary.com/diary/pcidss/&docid=8cg-85lQ3dqKsM&tbnid=99802HzagL8-YM:&w=516&h=410&client=firefox-b&bih=889&biw=1784&ved=0ahUKEwig-ICg7MzNAhXMppQKHZqVCpgQMwgeKAAwAA&iact=mrc&uact=8

https://www.google.co.jp/imgres?imgurl=http://creditcard-diary.com/wp/wp-content/uploads/2015/10/pci-dss.png&imgrefurl=http://creditcard-diary.com/diary/pcidss/&docid=8cg-85lQ3dqKsM&tbnid=99802HzagL8-YM:&w=516&h=410&client=firefox-b&bih=889&biw=1784&ved=0ahUKEwig-ICg7MzNAhXMppQKHZqVCpgQMwgeKAAwAA&iact=mrc&uact=8


[事例2] ハイブリッド運用

34

社内ルーター router

LogGate（ログ収集サーバ）

ELBWebAPサーバ

AmazonRDS

LogGate（ログ収集サーバ）

Console（管理／GUIサーバ）

事業者データセンターAWSから一般ユーザ向けに

Webサービスを展開

凡例Webサービスの経路ログデータの経路Logstorage検索処理

AWS上のログとデータセンター内のログを統合管理データセンター、AWSのログ収集はそれぞれのLogGateで行うデータセンターに配置したConsoleから検索等を実施

監査オペレーター







35


様々なクラウドサービス

36

複数のクラウドサービスを組み合わせて利用

商用サービス／社内業務サービスファイルサーバ

オフィススイート・コラボレーション

AWSだけではなく、Microsoft Azure、Box、Office365といった特徴のあるクラウドサービスを組み合わせて利用するシーンが増加


マルチクラウドでのログ管理

37

様々なクラウドでもログ管理は必要

様々なクラウドサービスにはデータが配置され、ユーザがアクセスする

各種クラウドサービスでも、ログの管理は必須となる

Logstorageのクラウドサービスラインナップで効率的な監査が可能です


Azure Audit Logs とは

38

Azure Audit Logs の概要

Azureアカウントの操作履歴を記録・出力するサービス

コンプライアンス準拠社内規定や規制基準に応じたAzureリソースの管理について説明するために、これらの情報を用いることができる

リソースのライフサイクル管理

あるAzureリソースの作成から削除まで追跡することができる

運用上のトラブルシューティング

リースに対して最近行われた変更を特定することができる

セキュリティ面の分析不適切な権限でのアクセスのため拒否された操作を見ることができる

ユーザーがある期間に行った操作は？

どのAzureユーザーが、いつ、何を、どのように操作したか？

操作がどの接続元(IPアドレス)から行われたか？

以下のような問いに答えることができます！

Azureサービス

Azure Audit Logs


Azure Audit Logs の課題と対策

39

Azure Audit Logs を利用する上での課題と対策

ログがJSON形式で出力されるそのままの形式で活用するのは難しい

Azure Audit Logs にログが出力されるサービスは多岐に渡る集約されたログをきちんと分類して見る方法が必要

監査ログは「90日間」しか保存されない監査目的ではより長期の保存が必要

Logstorageのオプション製品「Azure Audit Logs 連携パック」を活用してログを可視化!!

ログの取得・解析・分析を自動化するツールが必須

課題と対策はAWSとほぼ同じ


Boxとは

40

Box社が提供するセキュアなファイル共有サービス。あらゆるデバイスでファイルの利用が可能。コラボレーション機能を活用することで、場所を選ばず、誰とでもファイル共有することが可能。非常にリーズナブルな価格体系であり、視覚的に判り易いUIなので、誰もが簡単に利用することが可能。Office365に対応。Boxサービス上でファイル閲覧、編集することも可能。

ビジネスユーザ向けファイル共有サービス「Box」

セキュアな環境でのアイデアの共有、コラボレーション、業務の迅速化などの観点から、Boxの利用が急速に進んでいる


Box管理者イベントログ

41

Boxアカウントの操作履歴をログとして記録

・いつ、誰が、何を、どのように操作したか？・特定ユーザがある期間に行った操作は？・どの接続元(IPアドレス)から操作が行われたか？・ファイルアップロード／ダウンロードの履歴は？

Box管理者イベントログとは

管理者

一般ユーザ

外部ユーザ

検索・集計・レポート条件テンプレートが用意されているので、ログの解析が容易に可能。ログの長期保管、圧縮保管、暗号化、改ざん検出機能にも対応。

ファイルアップロード

ファイル編集

ファイル閲覧

Logstorageのオプション製品「Box 連携パック」を活用してログを可視化!!


Office365 にも対応予定

42

Microsoft Office365 のログも取得可能に

Microsoft社が提供するクラウドオフィススイート／コラボレーションサービス、「Office365」のログにも対応します！（2016秋頃詳細発表）

Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 43

Logstorage 関連資料

URL: http://www.logstorage.com/product/product_materials.html

- Logstorage ご紹介資料

- Logstorage for AWS ご紹介資料

- Logstorage Microsoft Azure Audit Logs 連携パックご紹介資料

その他、ログ活用資料掲載中。

お問い合わせ先・開発元

インフォサイエンス株式会社プロダクト事業部

TEL 03-5427-3503 FAX 03-5427-3889

http://www.logstorage.com/ mail : [email protected]

AWS Test Drive でも Logstorage をお試し頂けます！http://aws.amazon.com/jp/testdrive/japan/security/


まとめ

44

1. AWS環境でもサイバー攻撃対策としてのログ管理が必要

2. Logstorage for AWSでAWS上のログ、システム構成を可視化

3. AWS、Azure、box、Office365をまとめてLogstorage でログ管理


お手元のアンケートに

是非ご回答をお願いします。

簡易展示コーナーでも

Logstorageデモ機の展示、資料のご案内を

行っておりますので、是非お立ち寄り下さい。


END「統合ログ管理システム「Logstorage」による

AWSシステムの監査・可視化」

2016/9/28

インフォサイエンス株式会社プロダクト事業部

安達賢一郎

Documents

Logstorage」によるAWSシステム の監査・可視化 Corporation [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889 統合ログ管理システム 「Logstorage」によるAWSシステム

Logstorage」によるAWSシステムの監査・可視化 Corporation [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889 統合ログ管理システム「Logstorage」によるAWSシステム