講演資料ダウンロード（PDF：9.70MB）

統合ログ管理システム「Logstorage」による
AWSシステムの監査・可視化
インフォサイエンス株式会社
プロダクト事業部
Infoscience Corporation
www.infoscience.co.jp
[email protected]
Tel: 03-5427-3503 Fax: 03-5427-3889
Contents
1. AWSにおけるログ管理
2. 統合ログ管理システム「Logstorage」と
「Logstorage for AWS」
3. AWS上のログの活用
- AWS CloudTrail
- AWS Config
- Amazon CloudWatch Logs
- Billing
4. Logstorage for AWS 導入事例
- cloudpack(アイレット株式会社)様
- サイトロック株式会社様
- インフォサイエンス株式会社
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
2
インフォサイエンス株式会社
設立
1995年10月
代表者
宮紀雄
＜開発から運用までの業務フェーズ概要＞
事業内容
•パッケージソフトウェア「Logstorage」シリーズの開発
•データセンタ運営
•受託システム開発サービス
•包括システム運用サービス
所在地
東京都港区芝浦2丁目4番1号インフォサイエンスビル
システム運用から生まれたパッケージソフトウェア
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
3
AWS環境におけるログ管理
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
4
ログ管理の目的
様々なルールや脅威への対応のために、ログの管理が行われている
個人情報保護法
金融商品取引法
国際ペイメントブランド/PCI DSS
不正アクセス禁止法
APT/標的型攻撃
マイナンバー/番号法
経産省/クラウドセキュリティガイドライン
プライバシーマーク
情報漏洩（内部犯行）
ISO27001/ISMS
サイバー犯罪捜査
「ログ」の管理・モニタリングは、今や
情報セキュリティの中心的な対策となっている
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
5
AWS上のログ取得のポイント
AWS上に点在するログと取得サービス
AWS CloudTrail
AWSサービスに対するアクセスログを記録
例）AWS利用グループ,ユーザの作成/削除/権限変更
EC2インスタンスの作成/停止/削除
AWS管理画面(Management Console)へのログイン
AWS Config
Network ACL
Management
Console
Security Group
AWSサービスの構成変更ログを記録
例）EC2インスタンスタイプの変更
AIMロールの変更
AWS CloudWatch Logs
・・・
AWS CLI
AWS SDK
Applications
ELB
EC2
RDS
VPC subnet
EC2インスタンス内のアクセスログを記録
例）Windowsイベントログ
Linux syslog (/var/log/ 配下のログ等)
その他、テキストログ
AWS CloudWatch Logs (VPC Flow Logs)
Network ACL / Security Group の通信ログを記録
・Network Interface単位でのACCEPT/REJECTログ
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
左記のサービスのログにより、AWS
上のあらゆるアクティビティの監査
・監視が可能に!!
6
AWS上のログ分析における課題
AWS上のログ分析における課題
１．ログがS3バケットに細かい単位で出力されたり、APIを利用しないと取得
できないログがある。
２．ログがJSON形式で記録されるため、そのままでは使えない。
３．CloudTrail に記録されるログの種類が多岐に渡り、どのようにログを監査
したらよいかわからない。
４．AWSサービスのリリーススピードが速いため、上記の課題に対して継続的
に対応していかなければならない。
５．AWSサービスの意図しない動作もあり、それを回避する仕組みも一部必要。
AWSのログ関連サービスに対応する
ログ管理システムのニーズが高まっている
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
7
「統合ログ管理」と「SIEM」
SIEM (Security Information & Event Management)
… SIEMと言えばリアルタイムのセキュリティイベント検知を主眼にしたツールを指し、統合ログ管
理ツールとは別ジャンルとされることが多い。ログの蓄積と分析に重きを置くのが統合ログ管理ツー
ル（現在は国産製品が中心に導入が進んでいる）であり、標的型攻撃など新しい脅威への対策に有効
だが長期にわたる時間軸での分析には向かないのが、現在海外製品を中心に注目されているSIEMツー
ルと考えればよいだろう。
キーマンズネット「不正行為も一目瞭然！統合ログ管理ツール」 URL : http://www.keyman.or.jp/at/30006863/
統合ログ管理（監査）
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
SIEM（SOC）
8
統合ログ管理システム「Logstorage」と
「Logstoarge for AWS」
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
9
統合ログ管理システム「Logstorage」
「Logstorage」とは
あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理シス
テムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視、業務効率改
善など、多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。
9年連続市場シェアNo.1
1,900社への導入実績
Logstorage
46.8%
出典：ミック経済研究所「情報セキュリティソリューション市場の
現状と将来展望2015(統合ログ管理市場)」
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
10
機能・システム構成
ログ収集機能
[受信機能]
・Syslog / FTP(S) / 共有フォルダ / SNMP
[ログ送信・取得機能]
・Agent
・EventLogCollector
・SecureBatchTransfer
ログ保管機能
・ログの圧縮保存／高速検索
・ログの改ざんチェック機能
・ログに対する意味（タグ）付け
・ログの暗号化保存
・保存期間を経過したログを自動アーカイブ
・ログの保存領域管理機能
ログ検知機能
・ポリシーに合致したログのアラート
・ポリシーはストーリー的に定義可能(シナリオ検知)
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
<Logstorage システム構成>
検索・集計・レポート機能
・ログの検索／集計／レポート生成
・検索結果に対する、クリック操作による絞込み
・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)
・レポートの出力形式のカスタマイズ
11
ログ収集実績／連携製品
日本国内で利用されているソフトウェア・機器を中心に250種以上のログ収集実績
［OSシステム・イベント］
［Web/プロキシ］
［ネットワーク機器］
・Windows
・Solaris
・AIX
・HP-UX
・Linux
・BSD
・Apache
・IIS
・BlueCoat
・i-FILTER
・squid
・WebSense
・WebSphere
・WebLogic
・Apache Tomcat
・Cosminexus
・Oracle
・SQLServer
・DB2
・PostgreSQL
・MySQL
・Cisco PIX/ASA
・Cisco Catalyst
・NetScreen/SSG
・PaloAlto PA
・VPN-1
・Firewall-1
・Check Point IP
・SSL-VPN
・FortiGate
・NOKIA IP
・Alteon
・SonicWall
・FortiGate
・BIG-IP
・IronPort
・ServerIron
・Proventia
［データベース監査］
［メール］
・PISO
・Chakra
・SecureSphere DMG/DSG
・SSDB監査
・AUDIT MASTER
・IPLocks
・Guardium
・MS Exchange
・sendmail
・Postfix
・qmail
・Exim
・AWS CloudTrail
・AWS Config
・AWS CloudWatch Logs
・VMware vCenter
・SAP R/3 (ERP)
・NetApp (NAS)
・ex-SG (入退室管理)
・MSIESER
・iSecurity
・Desk Net’s
・HP NonStop Server
［クライアント操作］
・LanScope Cat
・InfoTrace
・CWAT
・MylogStar
・IVEX Logger
・秘文
・SeP
・QND/QOH
【Logstorage アライアンス製品】
［データベース］
［サーバアクセス］
・ALogコンバータ
・VISUACT
・File Server Audit
・CA Access Control
Amazon Web Service
SKYSEA Client View
LanScope Cat
SecureCube / AccessCheck
CWAT
Sendmail
InfoTrace
Auge AccessWatcher
・SmartOn
・ARCACLAVIS
MylogStar
IVEX Logger シリーズ
［運用監視］
［アンチウィルス］
i-FILTER
MaLion3
SecurePrint!
VISUACT
・Nagios
・JP1
・Systemwalker
・OpenView
・Symantec AntiVirus
・TrendMicro InterScan
・McAfee VirusScan
・HDE Anti Vuris
Chakra
File Server Audit
［Lotus Domino］
［複合機］
SSDB監査
監査れポータル
AUDIT MASTER
PISO
［ICカード認証］
Revo
・Lotus Domino
・Notes AccessAnalyzer2
・Auge AccessWatcher
・imageRunner
・Apeos
・SecurePrint!
［その他］
…その他
Palo Alto Networks next-generation firewalls
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
12
AWSに特化した『Logstorage for AWS』
Logstorage for AWSは、AWS上で生成されるあらゆるログデータを「収集・解析」「保管」「検索・分析」「レポー
ト」するための、統合ログ管理ツールです。 AWS上のリソースのライフサイクルの管理、コンプライアンス準拠、セ
キュリティ分析、運用上のトラブルシューティングなど、幅広く活用することができます。
収集・解析
・AWSの各サービスからのログ自動収集
・JSON形式のログの解析／変換
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
保管
・ログの圧縮保存／高速検索機能
・ログの暗号化／改ざんチェック機能
・ログの自動アーカイブ機能
検索・分析
・ログの検索／集計／レポート
・検索結果からクリック操作による絞込み
・レポートの定期自動出力
13
AWS上のログの活用
- AWS CloudTrail
- AWS Config
- Amazon CloudWatch Logs
- Billing
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
14
AWS CloudTrail
AWS CloudTrail とは
AWS CloudTrail は、アカウントの AWS API の呼び出しを記録し、ログファイルを送信するウェブ
サービスです。記録される情報には、API 呼び出し元の ID、API 呼び出し元のソース IP アドレス、
リクエストのパラメータ、および AWS サービスから返された応答の要素が含まれます。
CloudTrail を使用すると、アカウントの AWS API の呼び出し履歴を取得できます。履歴には、AWS
マネジメントコンソール、AWS SDK、コマンドラインツールを使用した API の呼び出しが含まれま
す。
https://aws.amazon.com/jp/cloudtrail/
Logstorage for AWS でのログ収集方式
(収集方式1)
CloudTrailの通知を利用
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
(収集方式2)
S3のPutイベントを利用
15
AWS CloudTrail ログのモニタリング観点
Logstorage for AWS – CloudTrail レポート例
・CloudTrail の停止／削除／設定変更
・EC2の作成／意図しないEC2のTerminate
・ユーザアカウントの作成
・IAMポリシーの付与／削除
・AWS Management Consoleログイン
・NetWorkACLの変更／ポートの解放
・Security Groupの変更／ポートの解放
突合せ
基準
ルール
・ネットワーク構成の変更
・意図しない接続元からのアクセス
・特権ユーザでのアクセス
・許可されていない権限のアクセス
………
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
16
レポート例
承認されていないインスタンス
の生成・起動は無いか
誤ったインスタンスの
削除は無いか
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
誤ったインスタンスの
停止は無いか
管理コンソールに、不正に
アクセスされていないか
17
レポート例
承認されていないオブジェクト
が生成されていないか
承認されていないユーザから
のアクセスは無いか
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
誤ってオブジェクトが削除
されていないか
不明な接続元は無いか?
18
AWS上のログの活用
- AWS CloudTrail
- AWS Config
- Amazon CloudWatch Logs
- Billing
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
19
AWS Config Partner - Logstorage
AWS Config Partner / AWS Official Blog にて紹介
URL: http://aws.amazon.com/jp/config/partners/logstorage/
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
20
AWS Config
AWS Config とは
AWS Config とは、セキュリティとガバナンスを可能にする構成変更の通知、構成履歴、AWS リソ
ースのインベントリーをお客様へ提供する完全マネージド型のサービスです。AWS Config から、既
存の AWS リソースの検出、設定の詳細をすべて含めたお客様の AWS リソース一覧表のエクスポー
トが可能となり、どの時点でどのようにリソースが設定されたかを確認できます。これらの機能は、
コンプライアンス監査、セキュリティ分析、リソース変更の追跡、トラブルシューティングを可能に
します。
https://aws.amazon.com/jp/config/
Logstorage for AWS でのログ収集方式
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
21
リソース関連図レポート
構成スナップショットレポートサンプル（開発中）
スナップショットをわかりやすく図示
一目でAWSの構成が把握可能
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
22
リソース関連図レポート【Logstorage for AWS 新機能】
構成スナップショットレポートサンプル（開発中）
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
23
リソース関連図レポートに出力可能なオブジェクト
構成スナップショットレポートサンプル（開発中）
分類
オブジェクト
Amazon EC2
EC2インスタンス
RDS / ELB /
Auto Scalingグループは?
EC2 Network Interface
EC2 Elastic IP
Amazon VPC
カスタマーゲートウェイ
インターネットゲートウェイ
ルートテーブル
サブネット
VPC
VPNゲートウェイ
VPN接続
Amazon EBS
汎用(SSD)ボリューム
プロビジョンド IOPS(SSD)ボリューム
マグネティックボリューム
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
24
AWS上のログの活用
- AWS CloudTrail
- AWS Config
- Amazon CloudWatch Logs
- Billing
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
25
Amazon CloudWatch Logs
Amazon CloudWatch Logs とは
Amazon CloudWatch Logs を使用して、Amazon Elastic Compute Cloud (Amazon EC2) イン
スタンス、AWS CloudTrail、またはその他のソースのログファイルの監視、保存、アクセスがで
きます。その後、Amazon CloudWatch コンソール、AWS CLI の CloudWatch Logs コマンド、
CloudWatch Logs API、または CloudWatch Logs SDK を使用して、CloudWatch Logs から関
連ログデータを取得できます。
http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatchLogs.html
Logstorage for AWS でのログ収集方式
VPC Flow Logs
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
26
Amazon CloudWatch Logs ログのモニタリング
Amazon CloudWatch Logs ログのモニタリング観点
【Windows/Linux】
・イベントログの消去
・権限昇格履歴
・システム時刻変更
・管理者権限の操作
・パスワード変更履歴
・ログイン成功／失敗
・監査ポリシー変更履歴
突合せ
基準
ルール
突合せ
過去の
利用状況
………
※その他、各種テンプレートの利用が可能
【VPC Flow Logs】
・通信のACCEPT/REJECT
・REJECTされたプロトコル
・REJECTされた接続元IPアドレス
・REJECTされた通信／ポート
・時系列での通信バイト数（全体・Interface毎）
・時系列での通信パケット数（全体・Interface毎）
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
27
VPC Flow Logs レポート例／REJECT
REJECTされた通信
の接続元は?
どのような通信先/ポートに
REJECTされた通信があったか
REJECTされた通信
REJECTされた通信のプロトコルは?
(1-ICMP / 6-TCP / 17-UDP)
ACCEPT/REJECTの比率は?
(REJECT通信が異常に多く無いか)
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
28
VPC Flow Logs レポート例／通信量
全体の通信バイト数
（時系列）
Network-Interface毎の
通信パケット数
（時系列）
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
全体の通信パケット数
（時系列）
Network-Interface毎の
通信バイト数
（時系列）
29
AWS上のログの活用
- AWS CloudTrail- AWS Config
- Amazon CloudWatch Logs
- Billing
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
30
Billing ログ分析【Logstorage for AWS 新機能】
AWSの利用料金をサービス毎に可視化
AWSのBillingデータを利用し、利用金額の観点から、AWSサ
ービスの利用状況を把握する。
・既に利用していないサービスで料金が発生していないか把
握し不要なサービスを止める。
・インスタンスタイプ毎の利用コストを把握し、リザーブド
インスタンスに変更する。
・部署／ユーザ単位での利用金額を把握し、適切な費用配賦
を行う。
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
31
Logstorage for AWS 導入事例
[事例1] cloudpack(アイレット株式会社)様
[事例2] サイトロック株式会社様
[事例3] インフォサイエンス株式会社
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
32
[事例1] cloudpack(アイレット株式会社)様
Logstorage導入目的
社内インフラVPC
・各種セキュリティ認証の取得
(PCI DSS / ISO27001)
東品川データセンター
・SOC2 への取り組み
・上記への対応を通じ、セキュリティ
への取り組みについて客観的な評価
に基づく透明性の確保、高度なセキ
ュリティ体制の実現
ログ収集対象
認証サーバ Logstorage
Customer
gateway
その他
管理サーバ
Direct Connect
(専用線接続)
ルータ
VPN装置
踏み台
サーバ
ログ収集対象
ルータ
閉塞網
スイッチ
認証サーバ
東京拠点
踏み台サーバ
NATインスタンス
セキュリティ端末
ルータ
その他、セキュリティ管理サーバ
セキュリティ
ネットワーク
全顧客の AWS CloudTrail ログ
全顧客の AWS Config ログ
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
Internet
セキュリティ端末
Logstorage導入環境
33
[事例1] cloudpack様のコメント
○PCI DSS認証
『無償で提供されるLogstorageのPCI DSSテンプレートに
は、テンプレートが対応するPCI DSS要件番号が記載され
ており、監査がスムーズに進んだ』
『Logstorageは、PCI DSSで求められるログの暗号化と改
ざん検出に標準機能で対応しており、別の製品と組み合わ
せる必要なく対応できた』
【PCI DSSレポートテンプレート（一部）】
『結果、PCI DSS認証取得において、ログに関する指摘事
項は無かった』
○SOC 2報告書
『Logstorageを利用したログの一元管理はSOC2対応でも
踏襲した。AWSを対象としたフルマネージドサービス事業
で、国内で初めてSOC 2報告書を受領した。』
【S3 Put Eventを利用したCloudTrailログの収集】
○その他
『LogstorageはAMIでも提供されるため、インストールには殆ど手間が掛からなかった』
『多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対
応は助かった。』
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
34
[事例2] サイトロック株式会社様
2015年9月10日より
サービス開始
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
35
[事例2] サイトロック株式会社様
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
36
[事例3] インフォサイエンス株式会社
インフォサイエンス株式会社が提供する「包括的システム運用サービス」。 SecureCube AccessCheck + Logstorageを導入する事で、インフォサイエンスが
自社データセンター内で預かるお客様サーバ、及びAWS上のEC2インスタンス等の運用をより安全に、セキュアに行うことで、各種コンプライアンス要求に対応
インフォサイエンスデータセンター
ログデータ連携
LogGate
ログ
お客様A
Manager
EC2インスタンス
ログ
Gateway
VPN
connection
Firewall
お客様B
Console
LogGate
ログ
Firewall /VPN
AccessCheck
EC2インスタンス
運用担当者
操作端末
Logstorage + AccessCheck によるハイブリッド環境
でのアクセス管理・ログ管理
・データセンター内のサーバ、及びAWS上のEC2インスタンスに対するメンテ
ナンスは、全てAccessCheck上での申請・承認を経て、AccessCheckのゲー
トウェイ経由でアクセスする。
⇒ 承認が無いアクセスは許可しない
監査担当者
操作端末
ログ
・データセンターのサーバ、ネットワーク機器、AccessCheck、及びAWS上の
EC2インスタンスのログをLogstorageに収集・統合管理し、日次で監査。
⇒ AccessCheckゲートウェイを経由しない、違反アクセスなども監査
お客様サーバ
（運用監視対象サーバ）
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
・データセンター内のログと、AWS上のログを統合管理し、1つのLogstorage
コンソールにて透過的にログを監査する。
⇒ ハイブリッド環境においても、ログの監査を容易に
37
お問い合わせ先
www.logstorage.com
ログ管理資料
Logstorage
http://www.logstorage.com/
http://www.logstorage.com/product/product_materials.html
http://www.logstorage.com/seminar/materials.html
・LogstorageによるPCI DSS要件10への対応例
Logstorage for AWS
・Logstorageによる制御システムセキュリティ対策
http://www.logstorage.com/aws/
・標的型メール攻撃分析・監視例
・突合レポートテンプレート
試用版のお申込み
・マイナンバー対策で求められる現実的なログ管理
http://www.logstorage.com/trial/ami_trial.html
・ストレージのアクセス監査から始める統合ログ管理
・統合ログ管理によるIT統制の実現とその具体的事例
… その他、50を超える参考資料・情報を公開中！
Logstorage に関するお問い合わせ
インフォサイエンス株式会社
プロダクト事業部
TEL 03-5427-3503 FAX 03-5427-3889
mail : [email protected]
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
38
AWS Test Drive プログラム
AWS Test Drive プログラムとは
AWS Test Drive は、事前設定済みのアプリケーション動作環境を
提供するサービス。
ユーザアカウントを登録することにより、Logstorage for AWS を
無料で、シナリオに沿って試用する事ができる。
URL: http://aws.amazon.com/jp/testdrive/japan/security/
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
39
END
『統合ログ管理システム「Logstorage」によるAWSシステムの監査・可視化』
2015/9/16
インフォサイエンス株式会社プロダクト事業部
稲村大介
Copyright(C) 2015 Infoscience Corporation. All Rights Reserved.
40

Download Report