ログの増大とその有効活用に向け ログ統合・分析機能の採用を逆提案

南足柄市は神奈川県の西端に位置し、東西約12km、南北約9km、面積77.12平方kmの市域に、人口約4万3000人、世帯数約1万6400を抱える、県内で最も小さな市だ。また、市政および市役所業務を掌管する南足柄市役所は、IT先進性で県下トップクラスの自治体としても知られている。情報システムの管理担当職員はわずか3名ながら高いITスキルを持ち、積極的な情報収集を常態化することで、5年ごとに行われる情報システムの全面更新の際も、ベンダーの提案力を重視しながら提案内容を厳しく吟味する実力を備えるなど、受け身に甘んじない姿勢が高い評価を裏づける要因となっている。

南足柄市役所では2009年度に庁舎内と関連施設で運用する「内部情報システム」を再構築し、ファイルサーバによる文書共有、グループウェア・メールなどを活用した内部事務を行っていたが、機器のリース契約が満了を迎えるのに加え、サーバOSのサポート終了も近づいたことから2015年度に向けて全面リプレースに着手。2013年8月に各システムの検討を開始し、2014年4月に公募型プロポーザルを実施して複数のSIerにRFP を発行した。

南足柄市役所 企画部 企画課 情報統計班 主査 長谷川 誠氏は、IT投資の基本姿勢について次のように説明する。「自治体は年度内予算が厳格に決められており、年度中での追加IT 投資は難しいため、5年間の技術環境の変化に弾力的に対応できる柔軟性と、技術が陳腐化しない汎用性を持った先進的なテクノロジーを選択すれば、結果的に低コストで効率的なシステム構築に結びつくと考えました」

そこでポイントとなったのが、ログの効率的な収集・分析だった。従来はログを溜めるままにし、問題が発生した時はサーバラックまで出向き、システムごとに分散したログを個々にアクセスして回収しExcel などに転記して確認していたため、問題箇所の発見まで時間がかかっていたことが課題だったという。

「新内部情報システムは以前よりもサーバやネットワーク機器の数が急増し、それらから大量のログが出力されることは予想されていましたが、SIerからの提案書には全てのログを統合してレポートを生成する機能が盛り込まれていませんでした」という長谷川氏は、統合的にログを監視できる環境の必要性を強く感じていたと語る。

そこで同氏が注目したのが、マクニカ主催のSplunkセミナーだった。2014年5月に『Splunk 紹介セミナー』を受講することでSplunkへの興味が深まり、6月には『Splunk ハンズオンセミナー』も半日受講してログの集約や解析の機能に関する基本的な情報を得ることができたという。

「Splunkセミナーでのデモ体験が特に衝撃的でした。インプット側での設計もなしに文字だけのCSVデータを入力すれば、ダッシュボード上でリアルタイムに視覚化できたのです。これなら簡単にレポート化も可能だと直感しました」

Splunkでログを収集する環境さえ作っておけばレポートの生成などもアイデア次第でできるようになる。追加投資が必要ないことも大きなメリットだと考えたという。

「セミナーで高い柔軟性と汎用性があることを確認できたことで、SIerにSplunkを活用するよう逆提案し、新内部情報システムの構成に組み込んでもらったのです」

分散したログを一元的に集約・監視 問題発生時の原因特定を迅速化

2014年8月にSplunkの導入作業を実施し、2015年1月に5GB/日ライセンスで本格的な運用を開始した。

現在は、各サーバからのイベントログをSplunkで集約し、クリティカルなログを抽出することでWebアクセス傾向を解析し、レア値などから特殊なアクセスが発生していないかを監視している。誰がどんなWebサイトを利用しているのか、危険なWebサイトにアクセスしていないかなど、今まで見えなかった業務実態が把握できるようになったという。近日中には、不許可のアプリケーションやデバイスの利用を監視する仕組みも稼働させる予定だ。

長谷川氏は、「全てのサーバやネットワーク機器からのログをSplunk側で一元的に収集し、多角的に解析・監視できるようになったので、クライアントPC の利用実態やセキュリティリスクの把握が可能になりました」と話し、その効率化を高く評価する。ログ検索のスピードも格段に早くなっているため、セキュリティインシデントが発生した際にも原因特定までの時間が短縮できる可能性があるという。

「少人数で管理している私たちにとっては、分散したログを集約しただけでも人的負担が大幅に削減され、もはやSplunk は欠かせないツールになりつつあります」

SKYSEAとSplunkの連携により 効率的なクライアント管理が実現

一方で、2009年のシステム更新から使用しているIT 資産管理ツール「SKYSEA ClientView」（以下、SKYSEA）とSplunkを連携させる運用も計画中だという。SKYSEAでは、市役所職員に配付した430台のクライアントPC のほか、市内の小中学校など10箇所に配置した校務用クライアントPCもVPN経由で管理しており、リモートで障害の内容の把握やサポートを実施している。

今後はSKYSEAからクライアントPCの起動～終了操作ログからの使用率やWeb閲覧ログなどを切り出した後に、Splunkで詳細な稼働状況を長期間レポート化するほか、社外ネットワークへのアクセス傾向や社内ファイルシステムのアクセス傾向の分析、アルバイトなどへ配付したPCの最適配置などもSplunkで実現したいと考えている。

「SKYSEA からはさまざまなログがテキスト形式で出力できるため、Splunk側でジョブを作り、それらのテキストログを収集して多角的に分析すれば可視性が高まり、より効率的なクライアント管理が可能になるでしょう。両者を連携させる効果は非常に高いと思います」と長谷川氏は分析する。

また、システム全体を監視するプラットフォーム管理システムの運用サーバからも毎日膨大なエラーメッセージが管理者にメールで送信されるが、個々に内容を確認することは困難なため、Splunkのダッシュボードでクリティカルなログのみを抽出して直感的に早期発見できるようにすることも考えているという。

今回の新内部情報システムにおいては、UTMやサンドボックス、メールセキュリティシステム、プロキシ、無線LAN なども新規に導入されており、将来的にはそれらからのログもSplunkに自動で収集・監視できるようにするほか、今後はビッグデータ活用の一環でサーバルームの空調機をコントロールするシステムから出力される温度・湿度などのログもSplunkで管理し、空調状態の監視を強化することも視野に入れている。

これからのIoT時代にはどのようなログが存在するのかを知り、管理することが重要になると指摘する長谷川氏は、「操作が簡単でログ取り込みの柔軟性、高速な処理速度を実現するSplunkなら、最初にジョブを作成し、ダッシュボードに登録してしまえば、ログの運用に悩む他の自治体でもログの管理・監視はさほど困難ではないと思います」とアドバイスしてくれた。

今後、Splunkの本格的な構築作業が行われる南足柄市役所に対し、マクニカは今まで以上の情報提供とサポート体制で、先進的自治体のIT化を継続的に支援していく構えだ。

User Profile

045-476-2010
月～金 8：45～17：30

お問い合わせ
お気軽にご相談ください

無償セミナー
各種セミナーはこちら

資料ダウンロード
各種資料はこちら