従来の性善説的な取り組みを脱し性悪説を前提としたセキュリティへ

日揮情報システム株式会社（以下、J-SYS）は、1983年7月に総合エンジニアリング企業の日揮株式会社（以下、JGC）より分離独立し、ユーザー系ITサービスプロバイダーとして設立。親会社であるJGCに対してシステムマネジメントサービスを提供するとともに、JGCが長年培ってきたプライムコントラクタの方法論を受け継ぎ、JGC以外の企業に対してもその技術や知的財産を商品化したパッケージ事業やソフトウェア受託開発事業、アウトソーシング事業などを提供している。エンジニアリングアプローチによる合理的なプロジェクトマネジメントやシステムインテグレーションのノウハウを、情報システム構築の構想段階から運用フェーズに至るまで一貫して提案するのが同社の強みだ。

近年、複雑化・巧妙化するサイバー攻撃やマルウェア感染などのセキュリティ被害が企業に脅威をもたらす中、JGCの事業を情報システム側で支えるJ-SYSも社内のセキュリティ対策の大幅な見直しに動き出している。高度な独自技術の集積であるエンジニアリング事業は機密情報の塊であり、それを狙うサイバー攻撃がJGCやJ-SYSのみならずグループ会社の脆弱性を突く可能性があるほか、組織のグローバル化が進むことで今後海外拠点からの情報漏えいも予測されるなど、抜本的な仕組み作りが求められていた。

「セキュリティ対策の基本は、破ることができないと思わせる『抑止力』や、不正行為を確実に防ぐ『防御力』、インシデントを検証できる『追跡性』の3つだと私たちは考えていますが、それに加えて従来行ってきた性善説的な仕組みでは不十分だと気づき、残念ではありますが性悪説を前提とした新たなセキュリティポリシーで社内の情報資産を守るろうと方針を転換しました」

そう語るのは当時、J-SYS 技術開発部にて社内向けのIT機器の企画や導入を担当していた 澁澤部長だ。J-SYSでは、これまでセキュリティ対策を抑止力として捉えていたため、誰かが社内のファイルサーバからデータをコピーしても検知せず、社内規定のUSBデバイスの利用を義務付けていてもそれが守られているかをシステム管理者は把握していなかった。ログは収集していたが、日常的に内容を確認することはなく、分析する手段も明確ではなかったという。

「システム管理者は人数が限られていたため全てのセキュリティ機器の機能に熟練しておらず、システム開発との兼任業務で時間がとれないこともあり、問題が起きているか正しく評価できる体制ではありませんでした」

今までにない見える化が実現しひらめきが生まれる可能性を感じた

一方、セキュリティのログ解析や監視システムの現状は年々厳しさを増しているという澁澤氏は、「機器ごとに発生するログはセキュリティ機能の強化に合わせて年々肥大化、複雑化しており、テキストエディタを使った従来の人海戦術的な解析方法ではもはや限界でした。また、プロキシサーバ、DHCPサーバ、Webフィルタなどのインターネットに関連するログ解析には、各データを関連づけた突き合わせ作業が必要で、知識と経験が必要とされることから、ノウハウが個人に蓄積されて属人化しやすいことも問題でした」と振り返る。

アンチウイルスソフトで完全に対応できないゼロディ攻撃などの脅威に対しては、迅速なログ解析、自動化が早期発見の手段になる。また、データ漏えいなどのインシデントが発生した場合は、ファイル操作履歴などの膨大なログ解析に適したツールの利用が不可欠となる。もはや人の手作業ではセキュリティ強化は困難であり、早急なシステム化が求められていたという。

そうした課題解決のために、統合ログ管理製品を探していた澁澤氏は、マクニカの提供するSplunkのユニークさに強く興味を惹かれたという。 「従来、人手に頼っていたさまざまなシステムログの収集と解析をSplunkで自動化・高度化することにより、今までにない見える化が実現し、ひらめきが生まれる可能性を感じました。また、異常を自動検知する仕組みの実現も重要な目的でしたが、Splunkによるログ解析、監視システムの導入は大きな効果が期待できると考えたのです」

ログの収集・統合と解析を実施し性悪説に基づく『抑止力』を強化

2013年10月からSplunkを含めた統 合ログ管理製品の調査を開始した同社は、11月にマクニカのSplunkハンズオンセミナーを受講するのと同時に、無償の評価版を導入して機能を具体的に検証した。澁澤氏は、「実際にデータを取り込んで検証してみたところ、想定した通りの結果が得られたほか、機能がわかりやすく初めての操作でも非常に簡単に行えるとわかり、マンパワーの少ない当社には最適だと感じました」と述べる。

その後、他社製品の評価も並行して行いながら、Splunkの機能の優位性を確認した同社は、翌年度の開発予算を申請してSplunkの導入を決定。2014年4月から、評価版環境をそのまま本番環境に継続利用する形で正式に利用を開始した。

2014年5月から8月まではSplunk活用のStep1として、手始めに無線LANやDNS/DHCPサーバ、ファイルサーバを監視対象にアクセスログの収集・統合と解析を実施。それをPC管理台帳と突き合わせて見える化を実現した。また、同社は個人所有の端末を業務で利用するBYOD（Bring Your Own Device）も 条件付きで許可しているため、持ち込み端末のリモートアクセス監視も合わせて行っている。

週次、日次単位で端末の利用状況を正確に把握できるようになったほか、誰が、いつ、どこで、どのようなアクセスを行っているかを複数の機器からのログを瞬時に解析することで、利用者単位のアクセス履歴を迅速に可視化することも可能になったという。

澁澤氏は、「Step1での重要な成果は、性悪説に基づく『抑止力』を強化できたことです。また、Splunkは検索機能でパラメータが表示されるので、機能を熟知していないシステム管理者でも簡単な操作でさまざまな情報を見ることができ、ノウハウが属人化しない運用が可能になりました」と高く評価する。

8月にStep1の評価が終了したことにより、引き続きStep2の計画をスタート。Step2では、Webコンテンツフィルターやプロキシなどからのログを取り込むことで、フォルダの操作監視も実施し、もうひとつの課題である『防御力』と『追跡力』を強化していく考えだ。

Splunkの導入で当初は計画していなかったさまざまな副次的効果も出ているという澁澤氏。「無線LANのアクセスポイントのアクセス数の変移を可視化することで、社内の情報資産の利用実態が把握でき、アクセスポイントの設置場所の検討や負荷分散に役立てられています」

また、Step2として当初は予定していなかった複合機の操作ログもSplunkに取り込むことで、業務時間外での操作や異常な枚数のプリントをチェックし、紙による情報持ち出しも監視することも計画しているとのことだ。

「Splunkに出会ったことで、ログを自在な切り口で分析が可能になり、あらゆるデータを一元管理し、ITインフラの可視化が実現できました。今回の取り組みでわかったことは、欲張らずこまめに結果を出すことで、担当者が単調なログ分析作業に興味を持ち、それが新たな気づきをもたらしている効果です」と語る澁澤氏は、見える化だけがセキュリティ対策の目的ではなく、ルール化することでスキルを属人化させず誰が分析しても次のアクションにつなげることができるようになることが重要だとも強調する。

そして、それを最もスムーズに実現してくれるのはSplunkだと確信している。

User Profile

045-476-2010
月～金 8：45～17：30

お問い合わせ
お気軽にご相談ください

無償セミナー
各種セミナーはこちら

資料ダウンロード
各種資料はこちら