“何でもない”インシデントもログ収集だけで時間がかかる

株式会社サイバーエージェントは、多くの芸能人・著名人が活用している「アメーバブログ」を代表する「Ameba」や、「ガールフレンド（仮）」「戦国炎舞KIZNA」といった多数のスマートフォンゲーム、スマートフォン向けコミュニティサービス、アプリやWebアプリなどのコンシューマ向けサービスを中心に、企業向けには広告配信・効果分析といった広告代理店事業も展開している、大手インターネットサービスベンダーである。

事業の中心である「Ameba」は、2014年9月には利用者数が4千万人を突破し、ブログ記事投稿数は19億件を突破した。サイバーエージェントでは、こうした膨大な個人情報や機密情報、重要情報を取り扱うため、社内システムのセキュリティ管理を特に重視する必要があった。

山口玲氏が所属する全社システム本部では、グループ全体でで3,000名を超える社員が利用するシステムを統合管理しており、セキュリティ対策は、セキュリティ責任者であり社内CSIRTのメンバーでもある同氏が統括している。

ネットワークセキュリティ装置と外部のマネージドサービスを活用して、基本的なセキュリティ対策は採っていたものの、細かなインシデント管理は山口氏が行う必要があり、この対応に忙殺されていたという。

ここで言うインシデントとは、実際にセキュリティ侵害が発生したものとは限らない。結果として被害を受けなかったり、そもそも攻撃ではなかったりしても、サイバー攻撃やウイルス感染と疑わしき挙動が発見されれば、すべて調査しなければならない。ゼロデイアタックや新種マルウェアの可能性があるためだ。これらは、基本的にすでに自明のセキュリティ侵害を検出する対策では判断できないため、個別に分析・対応する必要があるのだ。

山口氏は、サーバログなどを細かにチェックしてはっきりとした原因が特定できない“おかしな振る舞い”を発見したとき、ファイアウォールやDHCP、ActiveDirectoryなど、他のシステムのログを横断的にチェックする必要があった。さまざまなシステムからログを収集するだけでも手間がかかる。山口氏の管理下にあるシステムならよいが、他のスタッフや部署で管理しているシステムは、いちいち許諾を得て集めなければならない。

そうして集めた膨大なログを、ExcelやAccessなどを用いて計算しやすいように整形し、場合によっては簡単なプログラムを書いて調整することもあった。そのため、小規模な調査でも1～2日はかかっていた。手慣れた山口氏でもこれほど時間がかかるのだから、不慣れなスタッフであればもっと時間がかかってもおかしくないだろう。「こうした分析でよくあるのは、予測を立てて何らかの分析軸で検索をしてみたものの、該当数がゼロ件だったというケースです。時間がかかる既存の分析では、ビッグデータ分析のようなトライ・アンド・エラーを繰り返すことが困難です。短時間で何度も繰り返し、“感度の良い分析軸”を容易に見つけることができる仕組みが必要だと考えました」（山口氏）

まず、Windows/Linuxサーバに加えて、ネットワーク機器も含めて一元的にログを収集する機能が必要である。さらに、データが見やすいグラフなどに可視化され、経営層に報告しやすいビジュアルレポートが作成しやすいとなおよい。しきい値を設定し、アラートを発する機能も必要だ。そうして山口氏が選んだソリューションが「Splunk Enterprise」である。

操作がわかりやすく誰でも簡単にインシデント対応できる

開発者でもある山口氏は、当初、オープンソース・ソフトウェアの「El asti csear ch」と「Ki bana」を組み合わせて、分析システムを構築しようと試みた。開発・構築・運用には優秀なエンジニアの継続的アサインが必要で、システム自体が無償でも、TCOが膨れ上がってしまうことが懸念された。

山口氏は、いくつか方法を検討・検証していく中で、マクニカが主催したSplunkのハンズオンセミナーに参加した。とは言え、OSSで構築した分析システムの煩雑さを経験していたためか、敷居が高いに違いないと半信半疑の参加であったという。「ところが、思いのほか簡単に使えました。テキストにない操作も、試してみると直感的にできるのです。今でも、Splunk歴はわずか半年ですが、1～2時間で期待通りのレポートを作成できるほどです。実際に触ってみると、この操作性がよくわかります。マクニカには詳しいエンジニアが揃っていますし、何でも答えてくれますので、まずは参加してみることをオススメします」（山口氏）

セミナー終了後、山口氏はフリーの試用版を入手し、実際にインシデント対応した際のログデータを使って分析を試してみることにした。以前は長時間かかっていた分析が、ごく短時間で完了できたことに驚いた。前述したOSSの分析システムと比べて使い勝手が段違いで、誰でも簡単に扱うことができそうだ。初期導入時や運用時の人的コストを、大幅に圧縮できると確信したという。「もう1つ選定ポイントとなったのは、『SplunkApps』の存在です。さまざまなエンジニアが開発しているテンプレート、アドオンを見ることで、Splunkをどのように活用すれば、期待どおりの分析ができるのかを想像することができました。今では、自社で利用しているシングルサインオンシステムや認証システム向けに開発されたAppsを参考にして、自由にカスタムレポートを作成しています」（山口氏）

10時間かかっていた分析がたった30分で完了

Splunkの導入は、マクニカが取り扱うシングルサインオン製品である「PingFederate」と同時に行われた。山口氏によれば、PingFederateこそプロジェクト開始から3か月の期間を要したそうだが、Splunk自体は大きな手間を感じなかったという。

Splunkサーバ環境は、Amazon Web Services（AWS）を利用。スケールアップ・スケールアウトが容易なクラウドの利点を活かし、c3.large環境（CPU：2.8GHz×2.4GBメモリ、500GBストレージ）によるスモールスタートを実現した。インストール作業は1日、ログ収集の設定に1日、プロトタイプの構築で1週間、本番稼働までは1か月ほどで完了した。作業は山口氏のみが行い、兼務している開発作業の合間で十分だった。

実際の活用イメージは、上図のとおりである。前述のPingFederateや802.1X認証システム、ActiveDirectory、VPN装置、ファイアウォールなどからログファイルを取得するほか、システムによってはスクリプトを実行したりネットワークポートを介したりしてログを取り込み、横断的な検索を実行している。さらに、基幹システムなどからも操作ログなどを収集し、管理者の監査に用いているという。

ところで気になるのは、Splunkの導入・運用コストだ。Splunkの利用料金は、1日のログデータ量で決まる。そこで山口氏は、セキュリティ管理に特化するため、常時取り組むログをインシデント対応に役立つデータに限定し、それ以外のログはクラウドストレージのAmazonS3/Glacierに保管することで、費用を最小限に抑えることにした。

より詳細の調査が必要な場合や、サイバー攻撃によりログが増加してしまった場合、ライセンスを越えた量のログを取り込む必要性があるかもしれない。しかし、Splunkは、一過的なログの増加は月に4回まで許容されているため問題ない。また、利用料がCPU数やノード数に依存しないため、調査時のみスケールアップをして分析時間を短縮するなど、費用と性能のバランスを制御できる点も気に入っているという。「Splunkの導入効果は、すぐに現れました。調査に8～10時間かかっていたものが、たった30分に削減できたのです。何度も検索を試行できるため、分析精度も大きく向上しました。また空いた時間は、本来の開発業務や事前対策に当てることができるようになり、システム管理の品質がよくなったと感じています」（山口氏）

User Profile

045-476-2010
平日 9：00～17：00

お問い合わせ
お気軽にご相談ください

無償セミナー
各種セミナーはこちら

資料ダウンロード
各種資料はこちら