メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サービス・製品　|　
2024年2月 8日

Elasticだからできるログ統合管理、オブザーバビリティ・セキュリティ分析の事例6選

中村治

メルマガ登録する

メルマガ登録する

セキュリティエンジニアリング統括部の中村です。
Elastic Stackを活用し、オブザーバビリティやセキュリティの観点でのログ可視化や、分析基盤として導入からKibanaを利用したダッシュボードの開発などを支援しています。

今回は、これまで対応したシステム構築の中から、Elastic Stackの活用事例についてご紹介いたします。

Elastic Stackのソリューションと活用エリア
Elastic Securityの活用事例
Elastic Observabilityの活用事例
ラックの導入支援、運用支援
最後に

Elastic Stackのソリューションと活用エリア

Elastic Stackは、Elastic社が提供するElasticsearch、Kibana、Beats、Logstashの総称で、様々なソースからデータを取得し、リアルタイムに検索、分析、可視化ができます。

企業内に散在するデータから欲しい情報を横断的に検索する「Elastic Enterprise Search」、複数の情報ソースからアラートを検知する「Elastic Security」、システム全体の動作状況を一元的に可視化する「Elastic Observability」の3つのソリューションから構成されています。

活用エリア

Elastic SecurityとElastic Observabilityは、主に以下の①～⑥のエリアで活用されています。

エリア	セキュリティ		オブザーバビリティ
エリア	外部脅威	内部脅威（内部不正）	オブザーバビリティ
企業ネットワーク	①	②	⑤
商業系サービス基盤（Webサイト、ECサイト、各種電子商取引基盤など）	③	④	⑥

①FW、IPS/IDS境界部分、Proxy、ADのログ情報からSIEM（Security Information and Event Management）としての活用や個別セキュリティ分析
②PCに常駐するエージェントソフトウェア（資産管理ソフトウェア）、FWなどのログから分析
③FW、IPS/IDS境界部分、クラウドの各種サービスログから分析
④クラウドの各種サービスログ、監査ログから分析
⑤社内システムの各種ログ、クラウドの各種サービスログ、アプリケーションログ
⑥クラウドの各種サービスログ、アプリケーションログから分析

ここで少しオブザーバビリティ（可観測性）について補足します。

従来型の監視	障害発生の検知や障害対応を主な目的にし、インフラやネットワーク機器のログやプロセス、リソースを監視する。
従来型の監視	障害が発生してからのリアクティブな対応
オブザーバビリティ	アプリケーションサービスもモニタリングの対象に加え、企業の収益や生産性に関わるサービス提供の継続性を可視化する。また、リアルタイムモニタリングや機械学習を活用してパフォーマンス低下や障害が発生する前にその変化や兆候をとらえる。
オブザーバビリティ	障害発生を未然に防ぐプロアクティブな対応

Elastic Securityの活用事例

サイバー攻撃を複数の情報ソースから検知するElastic Securityの活用方法を紹介します。

インシデントレスポンス対応の迅速化

多くの企業では、IDS/IPS、EDRなどを導入し、セキュリティベンダーが提供するセキュリティ監視サービスを利用していると思います。

監視サービスからアラートを受けた後のインシデント対応は、各種通信ログを確認して、対象のサーバやPCを自社で特定する必要があります。個別でサーバなどにアクセスしてcatコマンドやgrepを使用するか、ログをダウンロードして、テキスト、エクセルなどに貼り付けて手動で様々な加工を実施したうえでログを確認する必要があるため、非常に手間がかかる作業です。

Elastic Stackを導入するとログを統合管理できるようになります。対象のサーバやPCの特定、どのような操作がされていたかなどの履歴を、IP単位やホスト名単位で可視化できます。

また、どのような操作が行われているかの行動をキーにして、一覧化したダッシュボードを作成することで、1画面で状況を確認でき、インシデントレスポンス対応としての検知、応急処置、対処、復旧までの一連の対応を迅速に行うことができます。

不正アクセスの可視化を実現

商用サービス基盤としてWebを公開しているシステムは、外部脅威対策としてファイアウォールやWAFなどでアクセス制限の対策が図られていますが、パスワードリスト攻撃など、通信としては正常に見えるような攻撃を防ぐのは非常に困難です。

このような攻撃に気づくためには、常にファイアウォールやWebアプリケーションのログを確認しなければならないので、労力がかかり現実的ではありません。

Elastic Stackを導入すると、ログをリアルタイムに統合管理できます。

例1ファイアウォール等のログで海外からのアクセスは存在しないWebシステムでは、GEO IP情報にルールを設けてアラートを発生させられる。
例2パスワードリスト攻撃などはアプリケーションのログを分析する必要があり、ログイン失敗回数や10日以上失敗し続けているログを検知して、攻撃の有無を確認できる。

情報を可視化しダッシュボードを作成しておくことで、迅速な検知や今後の対策を実施できます。

Elastic Stackのダッシュボード。アクセス量、アクセス元の国（地図上に表示）、アクセス先URLごとのステータスコードの割合、アクセス元のUser Agentごとの割合、エラーログ内容を可視化。

内部不正につながる行動への気づき

多くの企業は、ベンダーが提供するセキュリティ監視サービスを利用して外部脅威に対する対策は実施していますが、内部脅威の対策については、まだこれからというケースが多いかと思います。

PC資産管理のソフトウェア（エージェント）を導入してPCの動作ログを取得していても、監視までできていないとPCがどのファイルにアクセスしているかなど、不正につながるような行動に気づくことができません。Elastic Stackはログを統合管理するため、誰がどこのファイルにアクセスしているかなどを可視化できます。

さらに、重要ファイルへのアクセスには高いスコアを付けるなどのルールを設定し、しきい値を超え検知した場合はアラートを発生させるなどの監視を実現できます。また、ファイアウォール、プロキシなどのログとも相関分析することで、より精度の高い分析が可能になります。

AI機能（ML）：いつもと異なる行動を検知できる。例えば、いつもの働いている時間と異なる場合を可視化するなど。

Elastic Observabilityの活用事例

続いて、システム全体の動作状況を一元的に可視化するElastic Observabilityの活用方法を紹介します。

システム全体を横断的に可視化、分析

これまでログ分析をする場合は、APサーバ、Webサーバ、DBサーバなどそれぞれのサーバに接続した上で、catコマンド、viewコマンド、grepコマンドを使用して、キーワードによるフィルタを用いて必要な部分のログを参照しテキストへコピー、またサーバからログをダウンロードして、テキスト、エクセルなどにコピーしてログを検索していました。

Elastic Stackを導入すると、各サーバのログはリアルタイムに格納されるようになります。各サーバへ接続したり、ログをダウンロードしたりすることなく、Elasticのみでログをキーワード検索できるようになり、横断的で効率の良いログの可視化、分析が可能になります。

また、キーワードになる箇所を同一のフィールド名にすることで、ダッシュボードの画面にて複数サーバのログを確認できます。関連するそれぞれのサーバに格納されているログを1画面で確認でき、処理の流れや障害時の原因分析を迅速に実施しやすくなり、障害復旧までの時間を短縮します。

部門ごとに分かれて運用・監視している商用系サービス基盤の構成例。Elastic Stackを導入することで横断的なシステムの可視化や分析、一元管理が可能となる

機械学習、予兆検知を用いたプロアクティブなシステム監視の実現

従来型の監視では、アプリケーションのジョブ監視で処理時間の遅延を監視する場合、監視ツールなどでしきい値を設けてアラート通知していました。また、日々の処理時間を可視化する場合は、エクセルなどで処理時間の実績をまとめてグラフなどで可視化しました。

Elastic Stackは、単純なしきい値のみでのアラートだけでなく、機械学習の機能を用いて通常の処理時間をベースラインとして学習させ、処理時間、実行された時刻、曜日など複数の条件に応じて、アノマリーな事象が発生した場合にもアラート通知ができるため、障害の予兆を検知することが可能です。予兆を検知することでアプリケーションの改修など事前対策を行えるため、障害の発生を軽減したシステムの安定稼働を実現できます。

また、エクセルによる手作業の分析については、Elasticのダッシュボードでリアルタイムにグラフ化（自動化）されるので、日々の状況を容易に把握できるようになります。ダッシュボードで日々の状況を把握することで、アプリケーションの処理時間に対する傾向分析を迅速に行い、改善対応にかかる時間を軽減します。

ログメッセージを分析しカテゴライズ文言の組み合わせなど珍しいパターン検知。対象となる時間帯の値がベースラインと比べ、アノマリーな数値であった場合はハイライトされるような表示も可能

セキュリティルームへの入室における物理的、時間的ロスの改善

これまで重要システムにおけるログ調査、分析を行う場合は、セキュリティルームへ入室する必要がありました。昨今は在宅勤務も多いことから、ログ調査を実施することが物理的、時間的に容易ではありません。

Elastic Stackを使うと、IP制限、アクセス認証、監査機能を有効にして、安心、安全なログ分析を実施できるようになります。セキュリティルームへ入室せずともリモートの環境からログを確認できるようになり、物理的、時間的ロスを発生させず、迅速な対応が実現できます。

具体的には、Elastic Kibanaの検索画面にユーザごとに参照できるログのアクセス権限を設け、許可を得たユーザのみが閲覧できるような方式です。

内部監査の面でも、どのユーザがどのような操作を行ったかをElastic上のログで確認できます。アクセス権限のあるユーザが不正な操作をした場合、操作に対してアラート設定ができるので内部不正の検知に繋がり、リモートでも安全にログ分析ができる環境を構築できます。

ラックの導入支援、運用支援

ラックでは、お客様の課題に合わせてElastic Stackを用いた多くの提案実績があります。豊富な経験を基に導入から運用サポートまで、次のような支援が可能です。

Elastic Stack基盤構築支援内容（例）

項	作業項目	作業内容	作成物
1	要件確認	要件確認書の作成	要件確認書
2	基本設計	基本設計書の作成	基本設計書
3	手順書作成	Elastic構築向け手順書の作成	作業手順書
4	ログ分析	各ログの特性から分割方法の検討	マッピング定義書
5	Elastic基盤構築	Elasticsearch、Filebeat、 Logstash、Kibanaの導入	無し
6	ログ転送加工	ログ加工用の設定ファイル作成	設定ファイル
7	ダッシュボード作成	各ログにおけるダッシュボードを作成	ダッシュボード
8	結合テスト	結合試験の実施	試験項目表、試験結果エビデンス

Elastic Stackシステム運用支援内容（例）

項	項目	作業項目	作業内容
1	インシデント管理・問題管理	①お問い合わせ対応 ②アラート対応支援 ③課題管理	①Elastic製品に関わる機能やダッシュボードなどの使い方に対するお問い合わせ ②Elastic製品のアラートを対象（サービスモニタリング） ③Elastic運用に関わる機能改善・検索性改善、リソース状況改善、 EoL対応、新規機能ご利用希望、...etc
2	定期運用作業	①システムリソース確認 ②月次報告資料作成/月次定例会	①週次確認（リソースやshard数等の確認） ②パワーポイントなどによるレポーティング
3	随時運用作業	①依頼作業	①各バージョンアップ作業支援、アラート通知設定支援、ログ収集/分析支援、 ILM設定支援、ダッシュボード作成、...etc
4	ドキュメント管理・構成管理	①設計書修正/変更管理	①既存設計書の修正、新規設計書作成支援
5	資産管理	①設定ファイル修正/変更管理	①設定ファイルのパラメータ修正等の支援

最後に

Elastic Stackを活用してログを統合管理することで、システムの横断的な可視化による傾向分析や、ルールを用いた障害検知や予兆検知、セキュリティ攻撃の検知を迅速に行うとともに、インシデントレスポンス対応の迅速化を実現します。

Elastic Stackに関心をお持ちの方はお気軽にお問い合わせください。

より詳しく知るにはこちら

Elastic Stack

プロフィール

中村治
データベース、インフラ構築・運用の経験を経て、現在ではElastic Certified Engineerの資格を取得し、PMとしてElasticを活用したログ統合管理のための環境構築、運用支援をしています。イベントなどを通して、Elasticを活用したログの統合管理についての考え方を発信していきたいと思います。

関連サービス: Elastic Stack

この記事をシェアする

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

「Elastic Stack」に関するお問い合わせ

お問い合わせ

この記事は役に立ちましたか？

はいいいえ