「ログ分析って何だろう…」
「ログ分析をすると何ができる?」
ログ分析はサーバー攻撃や内部不正などを前もって防ぐ効果があるため、セキュリティを強化してくれます。
しかし、ログ分析についていまいち理解していなかったり、ログ分析をすることで何ができるのかを知らない方も多いのではないでしょうか。
本記事では、ログ分析の概要やメリットなどを解説します。
ログ分析について理解すれば会社のセキュリティを強化でき、未知の脅威を未然に防げるようになります。
ログ分析はログ管理業務のひとつ
ログ分析はログ管理業務のひとつで、集計したログを分析することです。ログからは下記の要素がわかるため、ログを分析することによって、さまざまな情報が手に入ります。
- いつ
- どこで
- 誰が
- 何を
- どうしたか(インストールした、起動したなど)
ログ分析は主に、セキュリティ関連の情報を知りたいときに行われることが多いです。例としては、情報漏洩が起きたときや、外部から攻撃があったときなどが挙げられます。
また、緊急時だけではなく日ごろからログ分析をしておけば、情報漏洩や外部攻撃の兆候がつかめたり、業務効率の改善が図れたりします。
ログは収集するだけでは十分ではなく、ログ分析をすることで効果を発揮するものです。ログは、セキュリティや業務効率改善の元になる重要な情報と言えます。
そもそもログ管理とは?
ログ分析はログ管理の一種です。そもそもログ管理とは、パソコン上の履歴であるログと呼ばれるデータを管理することです。
ログはパソコンで作業をしたり、サービスを利用したりしたときに履歴として残ります。ログを収集して管理することで、それぞれのユーザーがどのような動きをしたかの把握が可能です。
ログは外部からのサイバー攻撃や不正アクセスがあったときも残るため、トラブル発生時に管理していたログを分析して原因究明に役立ちます。逆にログ管理をしていないとトラブルがあったときに原因が解明できず、また同じトラブルが起きてしまうかもしれません。
ただ、ログ管理は手動で行うことは現実的ではないため、ログ管理システムを使って行うのが一般的です。
また、ログ管理システムを扱うには、管理するログの種類を知っておく必要があります。
あわせて読みたい
ログ管理については、「ログ管理とは?なんのためか、どこまでやるか、メリットデメリットまで解説」で詳しく解説していますので、参考にしてください。
管理・分析するログの種類
ログと一言で言っても、種類は多数あります。管理・分析できるログの種類を把握し、自社に必要なログを判断しましょう。
主なログの種類は、下記の通りです。
|
ログ名 |
具体例 |
|
操作ログ |
|
|
認証ログ |
|
|
イベントログ |
|
|
通信ログ |
|
|
通話ログ |
|
|
印刷ログ |
|
|
設定変更ログ |
|
|
エラーログ |
|
|
その他ログ |
|
仮に機密情報が情報漏えいした場合、通信ログをたどって機密文書にアクセスした人物を特定するなど、ログ管理と分析によって対応をスムーズに進めることもできます。
もう一つ例をあげれば、印刷ログから大量の印刷を発見して、中途退職者が不自然な印刷をしていることを見つけるなども可能です。
ログ管理(ログ分析)はセキュリティを強化する
ログを管理・分析すると、セキュリティの強化が可能です。外部からの攻撃や情報漏洩など、万が一の事態が起きたときにログを管理していれば、分析して原因を突き止められる可能性があります。
原因を突き止められれば、今後同じことが起きないように改善可能です。改善を繰り返していると、万が一の事態が起きる可能性が減っていき、結果としてセキュリティの強化につながります。
ただ、ログの管理・分析でセキュリティを強化させるには、日ごろからログ分析を行う必要があります。万が一の事態が起きたときのみログ分析をしようとすると、いきなりでやり方がわからず、何か事態が起きてからでなければセキュリティ強化ができません。
また、通常の状態が把握できてこそ、異常事態を把握できます。例えば、勤務時間外で社内システムへのアクセスがあったとき、この行動が日常的なのか否かで異常事態かどうかがわかるでしょう。
そのためには持続可能な範囲で日常的にログ分析を行い、セキュリティを強化しておく必要があります。
ログ分析を実施する5つのメリット
本章では、ログ分析のメリットについて解説します。ログ分析を実施するメリットは、下記の5つです。
- サイバー攻撃を検知しやすくなる
- 内部不正の抑止力になる
- 問題発生時に早急な対応ができる
- 分析結果をもとにセキュリティを強化できる
- 分析結果をもとに業務改善ができる
ログ分析の効果をより高めるため、メリットについて把握しておきましょう。
(1)サイバー攻撃を検知しやすくなる
ログ分析を日常的におこなうことによって、サイバー攻撃を検知しやすくなります。
平常時のログの動きを知っていれば、違和感のある情報に気づきやすくなるからです。
例えば、ファイルが添付されたメールが複数社員に送られたケースで考えてみましょう。一見、普通の行動に見えます。
しかし、日ごろからウイルス対策としてファイルのやり取りはメール以外のドライブ上などで行われているのであれば、この行動は異常だとわかるでしょう。日ごろのログ分析で早めにわかれば、サイバー攻撃を疑うことができ、対策ができます。
このように、ログ分析はサイバー攻撃の検知に役立ちます。
(2)内部不正の抑止力になる
ログ分析をすると、内部不正の抑止力になります。内部不正とは、会社の情報を意図的に盗んで外部に流すなどの不正な行為のことです。
ログ分析を行っていることが社員に周知されれば、より内部不正の抑止力になるでしょう。特にリモートワークの場合は社員の動きを管理することが難しいため、ログ分析を行い、動きを監視していることを伝えるのも一つの手です。
社員を疑いたくはありませんが、内部不正を防ぐためには、ログ分析は有効な手段です。
(3)問題発生時に早急な対応ができる
ログ分析をすると、問題発生時に早急な対応が可能です。問題が発生するときはたいてい、いつもとは違う行動をしているときが多いため、ログをたどれば問題の原因を突き止められる可能性があります。
ただ、問題発生時にいきなりログ分析をしようとしても、早急な対応は難しいでしょう。なぜなら、操作方法やどこを見ればいいのかなど、分からないことが多いからです。
問題発生時に早急な対応をするためには、日ごろからログ分析をして慣れておきましょう。慣れておけば、ログ分析は問題発生時に非常に役立ちます。
(4)分析結果をもとにセキュリティを強化できる
ログ分析をすると、分析結果をもとにセキュリティを強化可能です。分析結果にセキュリティ上問題のある部分が見つかれば、改善していくことで結果的にセキュリティ強化につながります。
例えば、ウイルス対策として社内では、メールに添付されたファイルを開くことは禁止しているとします。
ログ分析を行った際に、メールの添付ファイルを開いたというログが見つかれば、社内ルールに違反していることになります。その場合は、該当社員に注意する、そもそもメールの添付ファイルを開かないようにメールの使用を禁止するなどの対策ができるでしょう。
しかし、ログ分析を行っていなければ、異常事態を把握するのが遅れてしまいます。分析結果をもとにセキュリティを強化できるのは、ログ分析のメリットです。
(5)分析結果をもとに業務改善ができる
ログ分析を行うと、分析結果をもとに業務改善が可能です。ログを見ると社員の普段の動きがわかるため、無駄な部分が見えてきます。
例えば、特定のファイルにアクセスする際に、いくつものシートを経由しているログが見つかったとします。このログが複数社員で発見されれば、社員は日常的に複数のシートを経由してファイルにアクセスしているということでしょう。
このような場合には、複数システムへのログインURLをまとめたシートを作る、システムへのショートカットを作るなどの対策ができます。
ログ分析は業務効率改善も見込めるため、非常事態が起きなくても役立ちます。日ごろから行っておくべき作業といえるでしょう。
ログ分析の3つの種類
本章では、ログ分析の種類について解説します。ログ分析の種類は、主に下記の3つです。
- フォレンジック(分析)
- ハンティング(検知)
- 監査/監視(検知)
ログ分析を効果的に行うには、ログ分析の種類について理解する必要があります。それぞれどのような役割があるのかを把握しておきましょう。
(1)フォレンジック(分析)
フォレンジックとは、サイバー攻撃などの外部攻撃を受けた企業が、法的証拠として使えるデータを見つけるための鑑識捜査を指します。
フォレンジックは、基本的に下記の順番で行われます。
- 証拠保全
- データの解析
- 情報の抽出
- 報告
まず、法的証拠として使えるデータを見つけるため、証拠保全をします。証拠を保全する際は、関連するデータをすべてコピーします。
データをコピーしたら、データの解析を行います。コピーしたデータは、そのままでは分析できる状態にありません。そのため、データの解析では時系列でファイルを並び替えたり、消えてしまったデータを復元したりする作業が必要です。
データを解析したら、関連する情報を抽出します。すべてのデータが法的証拠として使えるわけではないため、法律的な観点からの判断が必要です。
最後に報告書をまとめて、報告します。フォレンジックには約1~5年分のログが必要なため、日ごろからログ管理をしておきましょう。
(2)ハンティング(検知)
ハンティングとは、外部から攻撃を受けたりウイルスが侵入していたりすると仮定し、異常な動きやデータを見つけ出す作業を指します。
ハンティングを行って異常な動きやデータを検知できれば、外部攻撃やウイルスの侵入を未然に防ぐことが可能です。
また、ハンティングによって見つけられた異常な動きやデータをなぜ今まで見つけられなかったのかを分析し、セキュリティを強化することもできます。そのため、ハンティングはセキュリティの面で、非常に有効な作業といえるでしょう。
ただ、ハンティングには高い専門知識が必要です。会社の中でもセキュリティ担当など、インターネットやシステムに詳しい人が行う必要があります。
(3)監査/監視(検知)
監査/監視は文字通り、ログを監査/監視することで、ログの中から異常な動きやデータを検知する作業です。
主な目的は、システムが安定的に稼働しているかを確認する目的と、セキュリティ的に問題がないかを確認する目的です。監査/監視をすると、いつ、誰が、どのような操作をしたかが把握できます。
特に、監査/監視は内部不正の防止に役立ちます。ログを監査/監視して特定の社員に異常な動きがあれば、前もって注意したり兆候を掴むことが可能です。
まとめ
ログ分析はログ管理業務のひとつで、集計したログを分析する作業を指します。ログ分析は、サイバー攻撃を検知しやすくなったり内部不正の抑止力になったりするのがメリットがです。
ログ分析をすることで結果的にセキュリティを強化できるため、日ごろから行っておきたい作業です。
ただ、ログの種類やログ分析の種類はいくつかあるため、本記事を参考にログ分析への理解を深めましょう。
\今すぐ無駄をなくしませんか?/
メタップスクラウド編集部
「メタクラブログ」は、株式会社メタップスが運営する公式メディアです。当メディアでは、企業のセキュリティ対策や業務効率化に役立つコンテンツの情報を発信しております。