ログの横断的な可視化や傾向分析から事故の予兆を検知しセキュリティの向上を実現
-
課題
これまでのログ管理基盤は、クライアントPCなどログの収集や管理がしにく く、可視化や傾向分析をするのに苦労していた。そのため、セキュリティインシ デントが起きてから、ログを確認して対処するという事後対策にとどまりがち であった。
-
導入経緯
パートナーのPentioの推薦でSumo Logicを採用。容易にログを可視化でき、分 析機能も充実しているほか、シンプルなスクリプトであることに加えて、高いコ ストパフォーマンスなどを評価した。実質1週間程度という短期間で導入を終え ている。またPentioによって、同社が利用するSKYSEAのログはCSV経由で取り 込むコネクタも開発している。
-
導入効果
あらゆるログが一元的にSumo Logicに集約され、必要に応じて可視化できて、 いろいろな切り口で多彩な傾向分析が可能となった。これにより、業務中におけ るPCの利用状況を把握できるほか、セキュリティ事故につながりかねない予兆 を検知し、事前対策を施せるようになった。ログ収集基盤の構築によって、今後 は働き方改革につなげられるように取り組んでいく。
事後対策のみならず事前対策も可能なログ管理基盤を目指す
システムのグローバル化が進むなか、NTTデータグループのSAP事業の中核を担うNTTデータ グローバルソリューションズ(以下、GSL)。ビジネスを展開するうえでGSL社は、あらゆる角度からのセキュリティ対策を包括的に実施している。その柱の1つがログ管理である。同社はかねてより、もう一歩進んだログ管理基盤への強化を構想していた。
GSLでは、社内約1000台のクライアントPCの運用管理を行う「SKYSEA」のログ、Office 365の監査ログをはじめ、各種システムやネットワーク機器のログを管理している。従来は統合ログ管理ツールを利用しつつ、何かセキュリティインシデントがあれば、ログを追跡して対処していた。
NTTデータ グローバルソリューションズ 馬場氏は「従来の基盤は予兆を検知してから対策を施すまで、対策が後手に回りがちでした。ログから予兆を検知し、事前に予防策を施せるような管理ができないか、常々考えていました」と語る。
予兆を検知するためには、ログの可視化および分析が欠かせない。従来は統合ログ管理ツールとExcelを併用して行っていたが、それでもうまくいかない部分があったという。
「複数システムのログを横断的に見て、いろいろ切り口を変えながら可視化・分析したかったのですが、従来のツールでは多くの手間がかかり、専門的なノウハウも必要でした」(馬場氏)
また、社内システム基盤のクラウド化の促進に伴い、サーバのサイジングの制限が少なくなったことから、ログも急増しておりその対策も迫られていた。
ログ管理基盤にSumo Logicを導入SKYSEAやOffice 365などのログを一元管理
それらの課題を解決すべく、GSLは2018年11月、ログ管理基盤の刷新に着手した。その中核として導入されたのが、Sumo LogicのS a a S型S I E M( S e c u r i t y I n f o r m a ti o n a n d E v e n tManagement)ソリューション「Sumo Logic」である。GSLのパートナーであるPentioが推薦し、すぐに採用に至り、その後Pentioによるコネクターとクエリー作成は実質約1週間でSumo Logic導入を実現した。
「Sumo Logicは他社製品に比べて、可視化のスクリプトがシンプルで、私たちが構想していたログ管理が手軽にできます。圧倒的なコストパフォーマンスの高さも魅力でした」(馬場氏)
SKYSEAやOffice 365など複数のシステムや、ネットワーク機器のログをSumo Logicに集約。SKYSEAはCSVを介して取り込む必要があり、そのためのコネクタをPentioが開発している。
また、クライアントPCは監査を考慮してネットワークを分け、SKYSEAのサーバはオンプレミスとクラウドの2つで構成している。「Sumo Logicはオンプレミスとクラウドのハイブリッド環境に対応できる点も大きなメリットです」(馬場氏)
ログから予兆を検知できる体制を整備
働き方改革に向けたもログ分析も視野に
NTT DGSはSumo Logicの導入によって狙い通り、ログ管理基盤の強化を果たした。
「SKYSEAで収集したクライアントPCのファイルコピーや移動、印刷のログをSumo Logicで可視化・分析できます。これらの回数が不自然に増えたPCがあれば、アラート出すことで情報漏えいの予兆を検知します。Sumo Logicのおかげで、こうした事前対策によるセキュリティ向上が可能となりました」(馬場氏)
さらに、オフィス内の無線LANが遅くなったと感じたら、個々のクライアントPCの通信量をSKYSEAで取得し、Sumo Logicで分析して原因解明することもできる。
SKYSEAをはじめ各種システムや機器のログを横断的に扱えるようにもなった。「どのシステムから収集したログなのか一切意識せず集約でき、必要なログをダッシュボード上に可視化できます。多角的な分析もが容易に行えるようになりました」(馬場氏)
ログの急増に対しても、Sumo Logicはクラウドベースなので着実に対応できる。しかもログの閲覧権限の制御も行えるようになり、監査への対応業務などが効率化できた。
今回のSumo Logicの導入は、NTTデータグループ内でのログ管理基盤導入の選択肢を広げた。「Sumo Logicなら『早く・軽く・安く』ログ管理基盤を導入できます」と話す馬場氏。
GSLは今後、ログ管理基盤の対象に入退室管理システムなども追加しながら、より深い分析に取り組むことで、さらなるセキュリティ強化を図っていく。
将来的には、ログ収集・分析を経営面まで広げることも視野に入れている。営業担当者のクライアントPCのログで、プレゼンテーションソフトの起動時間が多ければ、資料作成に時間を割かれ、肝心の顧客訪問がおろそかになっているとわかるので、改善策を打てる。
「各種ログからSumo Logicで可視化・分析することで、ビジネス・パフォーマンス向上や働き方改革などにつなげたいと考えています」(馬場氏)