[技術解説]

2009年5月26日(火)IT Leaders編集部

リスト

　コンピュータ機器が、自身の動作内容や警告メッセージを記録するログファイル。障害が起こった時には、そのログファイルをたどることで、何が起きたかの見当を付けることができる。OSが出力するログもあれば、アプリケーションやデータベース、機器内蔵のファームウェアが出力するログもある。メインフレームやサーバー、クライアントPC、ネットワーク機器など、企業情報システムは様々なハード/ソフトで構成されており、これまで多くの企業は社内のあちこちにログを偏在させている状況にあった。

　個別にログを記録している場合は、「情報漏洩などの問題が露呈した時になってはじめて、あちこちからログをかき集めて原因追及するケースが少なくなかった」（RSAセキュリティの轡田拓也・エンタープライズ営業本部シニアマネジャー）。プレーンテキストのログもあれば、バイナリ形式で専用ツールがなければ内容を確認できないログもあり、細かな分析を加えるには多くの手間と時間がかかった。

　こうした状況を抜本から解決するものとして期待されているのが統合ログ管理ツールだ。情報システムを構成するハード/ソフトのログを集約して一元管理し、すべて横串にした分析を可能とする（図5-1）。統合ログ管理は、米国では「SIEM（Security Information and Event Management：セキュリティ情報・イベント管理）」と呼ばれる。SIMとSEMという2つの製品分野が統合してきた動きを受けてのものだ（図5-2）。ログの収集-蓄積-分析を一貫して支援する基盤として期待が集まる。

図5-1　統合ログ管理ツールの特徴（図をクリックで拡大）

図5-2　統合ログ管理ツールの発展の経緯

RSAセキュリティのアプライアンス製品「enVison」の分析画面例

集約／蓄積の方法に違い
まずは自社の目的を明確に

表5-1に、主要な統合ログ管理製品の概要をまとめた。ログの収集方式、圧縮などの蓄積機能、分析のバリエーションなどで各製品の特徴が出る。