課題
これまでのログ管理基盤は、クライアントPCなどログの収集や管理がしにくく、可視化や傾向分析をするのに苦労していました。そのため、セキュリティインシデントが起きてから、ログを確認して対処するという事後対策にとどまりがちでした。
ソリューション
パートナーのPentioの推薦でSumo Logicを採用。容易にログを可視化でき、分 析機能も充実しているほか、シンプルなスクリプトであることに加えて、高いコ ストパフォーマンスなどを評価しました。実質1週間程度という短期間で導入を終え ています。またPentioによって、同社が利用するSKYSEAのログはCSV経由で取り 込むコネクタも開発しています。
「Sumo Logicは競合他社よりもシンプルな可視化スクリプトを備えており、ログ管理が容易です。コストパフォーマンスも圧倒的です」
—馬場 順一郎
結果
あらゆるログが一元的にSumo Logicに集約され、必要に応じて可視化できて、 いろいろな切り口で多彩な傾向分析が可能となりました。これにより、業務中におけ るPCの利用状況を把握できるほか、セキュリティ事故につながりかねない予兆 を検知し、事前対策を施せるようになりました。ログ収集基盤の構築によって、今後 は働き方改革につなげられるように取り組んでいきます。
事後対策のみならず事前対策も可能なログ管理基盤を目指す
システムのグローバル化が進むなか、NTTデータグループのSAP事業の中核を担うNTTデータ グローバルソリューションズ(以下、GSL)。ビジネスを展開するうえでGSL社は、あらゆる角度からのセキュリティ対策を包括的に実施しています。その柱の1つがログ管理である。同社はかねてより、もう一歩進んだログ管理基盤への強化を構想していました。
GSLでは、社内約1000台のクライアントPCの運用管理を行う「SKYSEA」のログ、Office 365の監査ログをはじめ、各種システムやネットワーク機器のログを管理しています。従来は統合ログ管理ツールを利用しつつ、何かセキュリティインシデントがあれば、ログを追跡して対処していました。
NTTデータ グローバルソリューションズ 馬場氏は「従来の基盤は予兆を検知してから対策を施すまで、対策が後手に回りがちでした。ログから予兆を検知し、事前に予防策を施せるような管理ができないか、常々考えていました」と語ります。
予兆を検知するためには、ログの可視化および分析が欠かせません。従来は統合ログ管理ツールとExcelを併用して行っていたが、それでもうまくいかない部分があったといいます。
「複数システムのログを横断的に見て、いろいろ切り口を変えながら可視化・分析したかったのですが、従来のツールでは多くの手間がかかり、専門的なノウハウも必要でした」(馬場氏)
また、社内システム基盤のクラウド化の促進に伴い、サーバのサイジングの制限が少なくなったことから、ログも急増しておりその対策も迫られていました。
ログ管理基盤にSumo Logicを導入SKYSEAやOffice 365などのログを一元管理
それらの課題を解決すべく、GSLは2018年11月、ログ管理基盤の刷新に着手しました。その中核として導入されたのが、Sumo LogicのSaaS型SIEM (Security Information and Event Management)ソリューション「Sumo Logic」です。GSLのパートナーであるPentioが推薦し、すぐに採用に至り、その後Pentioによるコネクターとクエリー作成は実質約1週間でSumo Logic導入を実現しました。
「Sumo Logicは他社製品に比べて、可視化のスクリプトがシンプルで、私たちが構想していたログ管理が手軽にできます。圧倒的なコストパフォーマンスの高さも魅力でした」(馬場氏)
SKYSEAやOffice 365など複数のシステムや、ネットワーク機器のログをSumo Logicに集約。SKYSEAはCSVを介して取り込む必要があり、そのためのコネクタをPentioが開発しています。
また、クライアントPCは監査を考慮してネットワークを分け、SKYSEAのサーバはオンプレミスとクラウドの2つで構成しています。「Sumo Logicはオンプレミスとクラウドのハイブリッド環境に対応できる点も大きなメリットです」(馬場氏)
ログから予兆を検知できる体制を整備
働き方改革に向けたもログ分析も視野に
NTT DGSはSumo Logicの導入によって狙い通り、ログ管理基盤の強化を果たしました。
「SKYSEAで収集したクライアントPCのファイルコピーや移動、印刷のログをSumo Logicで可視化・分析できます。これらの回数が不自然に増えたPCがあれば、アラート出すことで情報漏えいの予兆を検知します。Sumo Logicのおかげで、こうした事前対策によるセキュリティ向上が可能となりました」(馬場氏)
さらに、オフィス内の無線LANが遅くなったと感じたら、個々のクライアントPCの通信量をSKYSEAで取得し、Sumo Logicで分析して原因解明することもできます。
SKYSEAをはじめ各種システムや機器のログを横断的に扱えるようにもなりました。「どのシステムから収集したログなのか一切意識せず集約でき、必要なログをダッシュボード上に可視化できます。多角的な分析もが容易に行えるようになりました」(馬場氏)
ログの急増に対しても、Sumo Logicはクラウドベースなので着実に対応できます。しかもログの閲覧権限の制御も行えるようになり、監査への対応業務などが効率化できました。
今回のSumo Logicの導入は、NTTデータグループ内でのログ管理基盤導入の選択肢を広げました。「Sumo Logicなら『早く・軽く・安く』ログ管理基盤を導入できます」と話す馬場氏。
GSLは今後、ログ管理基盤の対象に入退室管理システムなども追加しながら、より深い分析に取り組むことで、さらなるセキュリティ強化を図っていきます。
将来的には、ログ収集・分析を経営面まで広げることも視野に入れています。営業担当者のクライアントPCのログで、プレゼンテーションソフトの起動時間が多ければ、資料作成に時間を割かれ、肝心の顧客訪問がおろそかになっているとわかるので、改善策を打てます。
「各種ログからSumo Logicで可視化・分析することで、ビジネス・パフォーマンス向上や働き方改革などにつなげたいと考えています」(馬場氏)
