Splunk

スプランク

国立大学法人千葉大学様

国立大学初のCSIRT組織がSplunkを活用 大量ログの横断検索でクリティカル情報をリアルタイムに抽出 人の能力に依存しないSOC組織でサイバー攻撃を監視

POINT

  • 膨大なログから重要な検知情報を抽出し管理者へメール通報する運用を実現
  • 一度に複数台のサーバログを下処理なしでほぼリアルタイムに横断検索
  • 通常のシステム運用や障害対応、利用者サービスにも活用できる可能性も実感
伊藤 利明氏

国立大学法人千葉大学
統合情報センター
システム運用担当
情報企画課 情報基盤室長
伊藤 利明氏

中村 芳幸氏

国立大学法人千葉大学
統合情報センター
システム運用担当 情報企画課
情報基盤室 技術専門職員
中村 芳幸氏

今泉 貴史氏

国立大学法人千葉大学
統合情報センター 情報危機対策チーム
C-csirt チームリーダー(PoC)
教授 博士(工学)
今泉 貴史氏

清宮 匡史氏

国立大学法人千葉大学
統合情報センター
システム運用担当
情報企画課 情報基盤室
清宮 匡史氏

鈴木 伸吾氏

国立大学法人千葉大学
企画総務部
情報企画課
情報推進係 係長
鈴木 伸吾氏

長谷川 直也氏

国立大学法人千葉大学
企画総務部
情報企画課
情報推進係 技術職員
長谷川 直也氏

脅威が時々刻々と進展する中でログ検索の遅れが大きな課題に

近年、大学や研究機関へのサイバー攻撃が増加傾向にあり、研究成果などの知的財産を守るためにはサイバーセキュリティ強化策が重要課題となっている。国立大学法人千葉大学(以下、千葉大学)では、主に2つの組織がセキュリティ強化を支えている。その1つが千葉大学統合情報センター(以下、統合情報センター)だ。情報基盤の整備、維持、運用・管理を担う組織だが、情報環境基盤の高度化・整備・充実の一環でセキュリティ強化にも努めている。そしてもう1つの組織が、千葉大学情報危機対策チーム「C-csirt」(ChibaUniversity - Cyber Security IncidentResponse Team)である。サイバー攻撃による情報漏えいや、不正アクセス、マルウェア感染などのセキュリティ上のインシデントに対して、予防活動、発生時の対応、改善策の検討および提案をおこなう。

その統合情報センターとC-csirtが連携し、ログの統合的監視と分析を効率化するため、2017年に導入したのが、マクニカが提供・サポートするマシンデータ分析プラットフォーム「Splunk Enterprise」(以下、Splunk)だ。

ログの活用において、以前は大きく3つの課題があったという。1つ目は各種サーバの種類が多く、冗長化もしていたため、ログが膨大になっていたこと。統合情報センターの伊藤氏は、「Webメールサーバは負荷分散のため複数台設置していましたが、ログがバラバラに出るためまとめて検索できず、すぐには結果を出せないことが問題でした」と語る。

2つ目は、マシンごとにディレクトリがあり、日ごとにファイルが増えている状態だったこと。統合情報センターの中村氏は、「手動でばらばらな検索結果を付き合わせていったので、検索対象の期間が長いと解析に非常に時間がかかっていました」と話す。

そして3つ目が、複数サーバのログをリアルタイムに横断的検索するのが困難だったこと。管理担当者はログを手動で収集・分析していたため、リアルタイムで検索・可視化する運用はしていなかったという。「Webメールに不正なログインが行われた場合、Webメールサーバのログや認証サーバのログ、無線LANのログイン状況も見ながら痕跡を掴もうとします。しかしサーバは複数台あり、ログの量も膨大なため、生ログを手動で見るには手間と時間がかかりすぎ、脅威が時々刻々と進展する中で対応が遅れることが大きな課題でした」と伊藤氏は述べる。

膨大なログから必要なものだけ抽出しタイムラグなしにC-csirtへアラート

LPWA振動診断

Splunkは、千葉大学の学術情報基盤システム(基幹ネットワーク、メールシステム、研究用の高速演算サーバ、自習用の教育用端末などを統括するシステム基盤)の保守契約満了に伴う新規調達に合わせて、2016年9月に情報基盤システムのログ管理の一環として導入提案が行われ、入札の結果採用が決定。新学術情報基盤システムの構築完了後、2017年3月に本稼働を開始した。

Splunkで集取している主なソースは、DNS、LDAP、DHCP、無線LANコントローラー、プロキシ、Webメール、多要素認証、メールサンドボックス、IPS、Active Directoryなどで、主に次の4つの目的で活用している。1つ目はユーザの通信の監視。プロキシやIPS(不正侵入防御システム)での検知、DNSクエリ状況、DHCP取得情報など、重要な検知情報をSplunkで管理者へメール通報する。2つ目は無線LANの利用状況の把握。無線LANコントローラーへの接続、認証、DHCP取得情報などを収集する。3つ目はWebメールのログイン・操作履歴の確認。ダッシュボードでリアルタイムにログイン失敗者などを確認し、外部からのWebメールのログインや多要素認証関係など、OTPの送信状況把握もダッシュボードで使いやすくしている。そして4つ目は利用者番号やIPアドレスなどの基本的な情報をキーにした横断検索。例えば、プロキシ検知→発信ホストのIPアドレスからDHCPリース履歴ヒット→無線LANホストの場合は、接続時の認証からユーザIDを特定する運用を行っている。

Splunkの導入で、データのフォーマットを問わずキーワードでの検索が可能になり、仮にWebメールでインシデントが発生してもメールアドレスで簡単に横断検索できるようになったほか、一度に複数台のサーバをほぼリアルタイムに検索できるメリットは大きいという。「これまでは、ログの量が多い場合はフォーマットを再定義するプログラムを作り、下処理でログを整形してからgrepしていました。Splunk導入後には下処理がほとんど不要になり、全く次元が違うほど楽になっています」と評価するのは、統合情報センターの中村氏だ。ファイアウォールはログが膨大なため、毎日処理するのに7~ 8時間かかり、前日分の分析結果が夕方に出る状況だったが、Splunk導入後はファイアウォールのログを必要なものだけ抽出することができるので、処理が簡素化するとともに、即時に結果が出るので、タイムラグなしにC-csirtへアラートを飛ばすことが可能になったという。

強化されたセキュリティをさらに補完し安心・安全な情報システム環境を実現

LPWA振動診断

C-csirtチームも大きなメリットを感じているという。C-csirt専任スタッフの鈴木氏は、「全部のログを四六時中監視するのは難しいため、Webメールのログイン監視とボットネット検索に絞り、特に注意が必要なクリティカルなログだけをメールで通知してもらえるよう統合情報センターに依頼しています。そうしたことで、C-csirtでもリアルタイムに情報が得られるようになりました」と述べる。

同じC-csirt専任担当の長谷川氏も、「千葉大学ではセキュリティを大幅に強化したことで大きなインシデントは発生していませんが、Splunkからメールで通知されることによって、調査の初動が速くなり、分析の優先順位が明確になるという効果も期待できます」と分析する。

また、千葉大学ではWebメールを外部から活用する場合はワンタイムパスワード(OTP)を併用しており、過去30分のOTP状況を調べることで誰がどの宛先に送っているのか、誰がログインに失敗したかなどの痕跡もSplunkのダッシュボードで把握できるという。統合情報センターの清宮氏は、「Splunkのダッシュボードはセキュリティばかりではなく、通常のシステム運用や障害対応、利用者サービスにも活用できる可能性を感じています」と話す。

今後、千葉大学では、現在未収集となっている一部のメールサーバログや、仮想ドメインを利用して各学部・研究センターに設置している公開Webサーバのログ、教員や大学院生が利用するリモートアクセス用VPNのログなどもSplunkに追加していく予定だ。また、ネットワークトラフィックの可視化にもチャレンジしていくという。

C-csirtのチームリーダーを務める今泉氏は、「Splunkによって強化されたセキュリティがさらに補完され、以前よりもさらに安心・安全な情報システム環境が実現しています。さまざまな脅威が日々登場していますが、それに対応するために、これからもSplunkの有効な活用方法を見出しながら対応していきたいと考えています」と語る。

User Profile

国立大学法人千葉大学様
URL

http://www.chiba-u.ac.jp/

1949年創立。2019年現在、10学部、13大学院を備え、4つのキャンパス(西千葉、亥鼻、松戸、柏の葉)に学生数約1万4,000人、教職員総数約3,400人が在籍する大規模総合大学。「つねに、より高きものをめざして」を基本理念とし、国内および海外の教育研究機関、行政、地域社会、企業などと積極的に連携し、知の発信拠点形成を推進して、社会貢献や文化・科学の発展に寄与することを目標として掲げている。

お問い合わせ・資料請求

株式会社マクニカ  Splunk 担当

平日 9:00~17:00