おはようございます。こんにちは。こんばんは。
ミッド(@mid_v_lab)です
IT系のニュースを見ていたところ、こんな記事を見つけました。
企業で8年間くらいセキュリティ系のログ管理をしてましたが、驚いたのは7年分のPC操作ログを保管&検索できるという点。
大体の企業ではセキュリティの観点で1年間のログ保管を実施している企業が多く、取得している認証によっては5年間、7年間といったログの保管が必要となります。
7年間というと、大体の認証要件を満たすでしょう。
10年間ってあるのかなーと思い調べてみたところ、IPAの資料に保存期間ごとの要件がまとまっていました。
(画像引用元:IPA「企業における情報システムのログ管理に関する実態調査」)
10年間だと銀行の監視カメラレベルらしいですね。PCの操作ログレベルで求められることはないでしょう。7年間あればモーマンタイ。
7年間のPC操作ログを保管できて、しかもアーカイブ化しないで検索可能というのは中々興味を惹かれます。企業に所属していたら、とりあえず営業さんを呼び出して詳細の話を聞きたい気分です。
「ISM LogAnalytics」を提供しているQuality Softの公式ページの内容から読み取れる機能と、実際に利用するとなるとこんなことが気になるという部分をまとめてみました。
では、いってみましょう~~
ISM LogAnalyticsの機能について
まずはどういったことができる製品なのかを確認してみます。
機能
- クラウド上で最大7年間のPCログ保管&検索
- セキュリティレポートの作成
- ワークライフバランスレポートの作成
- 勤怠状況レポートの作成
- 個人別レポートの作成
まずは、「PCログの保管」ができるというのが、この製品の最大の特徴です。
SaaS型(Software as a Service)の製品ですので、インターネット経由で該当製品にデータを送り付ける感じです。
冒頭でも挙げましたが、最大7年間のログ保管と検索可能なのは単純にすごい(コストが分からないので、利用検討できるものなのかは分からないですけど)。
多くの企業では保管期間が5年とかだったとしても、検索できる状態なのは1年分くらいが精々で、残りの4年分はアーカイブという圧縮された状態で置かれていて検索できる状態にするには時間が掛かります。
※アーカイブのイメージは、布団圧縮袋でぺっちゃんこになっている感じです。押入れに入っている布団を持ってきて、袋を空けて(解凍して)、初めて使えるようになります。
しかもPC台数に関わらず保管可能なようですね。(料金体系が気になります)
②~⑤のレポート機能は、取得ログから成形されるものなので特に目新しさはありません。
ログ管理経験が薄い担当者でも、テンプレでサクッとレポートを作れるというのは便利は便利だと思います。
ただし、セキュリティ系のインシデントで求められるレポートはテンプレで収まる範囲のレポートではなく、もっとフレキシブルな利用をするのでカスタマイズしてレポートを作れる機能がどの程度あるのか?という点が気になるところです。
※カスタマイズ性が皆無ならいくらログ保管期間が長くてもいらないです。
取得できるログ内容
こんな感じのログが取得できるようです。
(画像引用元:ISM LogAnalytics | クオリティソフト株式会社 (qualitysoft.com))
カテゴリーを見ると十分なログが取得できるように見受けられます。実際にどんなログが出るかは見てみないとなんともですけど、怪しい行動の証跡は取れそうです。
ログフィールドが分からないですが、Quality Softの「ISM LogAnalytics」の紹介ページの画像を見る限りは、
- ログ取得日時
- コンピュータ名
- ログオンユーザー名
- 利用者名
- カテゴリ名
などは取得できるようです。
「どんなログが欲しいか?」は企業によってマチマチなので、実際に使ってみて確認するしかありません。
尚、この手の製品でログが取れるのは、あくまでWindowsOSなどが反応する操作だけなので、
特定アプリケーションの中の操作は取得できない
と、思っていてください。
例えば、「AdobeでPDFを開いたことは分かるけどその変更内容は分からない」、「コマンドプロンプトを開いたことは分かるけど実行したコマンドは分からない」みたいな感じです。
ウインドウタイトルでアプリ実行は確認できますけど、もし中身の操作ログが必要ならそれはアプリ内でログを残す必要があります。
※コマンドプロンプトは悪用されることも多く、取得できるパターンの製品もあります。ISM LogAnalyticsでも管理者操作ログがそれっぽい感じですね。
ウインドウタイトルも取れるし、ファイル操作も取れるし、クリップボードも印刷もWebメールもWebアクセスも取得できるので、まあ悪い事したらどこかには残るでしょうね。
ISM LogAnalyticsを利用する上で確認したいこと
なかなか良さげな製品ではありますが、公式ページからは読み取れないことが多々あります。
- 利用料金(サブスク型?従量課金制?)
- ログアップロード方法と必要帯域
- レポートのカスタマイズ性
- 同一コンピュータ名が存在する場合の挙動
- 利用者名は何で引っ張る?(AD?)
まだありますけど、とりあえず5つ留めておきます(笑)
利用料金(サブスク型?従量課金制?)
利用料金は気になるところです。
オンプレ製品であれば、
- 製品ライセンス料
- サーバ費用
- 保守費用
などが掛かります。
SaaS型の本サービスではサーバ費用と保守費用が無くなり、ライセンス料含めた利用料金がかかります。利用料を定める上で基準となるのが、
- 端末台数
- ログ保存容量
- 1か月のネットワーク帯域
などになります。
単純に端末1台につきいくらの料金体系なのか、台数は制限ないけどクラウド上の保存容量で料金が決まるのか、はたまた1か月のネットワーク帯域で決まるのか、気になるところです。
ログ保存容量が一番ありそうな感じしますね。
ネットワーク帯域もSplunkさんとかで使われているので「1か月○GBまでは○円」みたいな体系もありそうです。
7年間保管した場合の費用と、サーバのリプレース料金やマンパワーなどを加味して、優位性があるかを判断したいですね。
ログアップロード方法と必要帯域
インターネットの向こうにサーバがあるので、「インターネット接続」が必須であり、ログをアップロードする必要があります。
恐らくPCにクライアントソフトを入れると思いますが、どのようにISM LogAnalytics側にログを持っていくのか、インターネット帯域はどれくらい発生するのかを確認しておかないと、
ログアップロードで帯域が詰まって、インターネット接続できなくなり、業務停止なんてこともありそうです。
別回線引くのが良いと思いますけど、クライアント側のソフトでそういう制御ができるのかも気になります。
レポートのカスタマイズ性
テンプレでいくつもレポートが用意されていそうですが、カスタマイズして利用できるでしょうか。
- このPCの、この操作だけ抽出したい
- このファイルを触った端末(ユーザ)を検索したい
- このWebサイトにアクセスした端末(ユーザ)を検索したい
- 印刷枚数が○枚以上の端末(ユーザ)を抽出したい
などなど、カスタマイズして使うことがほとんどです。
※定例のレポートは必要は必要ですけど
できないことは無いと思うんですけど、どれくらいできるかって部分ですね。
同一コンピュータ名が存在する場合の挙動
AD(ActiveDirectory)に参加が必須の場合は、同一コンピュータ名はほぼあり得ないんですが、あえてAD参加せずぶWORKGROUPにしているPC端末もあるかなと。
その場合、ユーザが誤って同一コンピュータ名を付与する、初期化して同一コンピュータ名で再セットアップした場合に、ISM LogAnalyticsはどういう反応になるんでしょうね。
某空と海の製品では、クライアントソフトインストール時にユニークのIDを振っていて、それで見分けてましたけど。(それはそれでクローンされたときに重複する問題も)
レポート作ったときに、古い端末を除外したいなどができるかどうかですね。
利用者名は何で引っ張る?(AD?)
紹介動画を見ると、利用者名で抽出できます!みたいな紹介されてましたけど、利用者名は何から引っ張ってくるんですかね。ADかな?
運用アカウントとか、ローカルアカウントでログインしている場合に利用者が特定できないけど、そういったものについてはどういう扱いになるんでしょう。
運用アカウントもローカルアカウントも認めてない!って場合は良いんでしょうけど、運用業務とかの場合、運用アカウント使ってるパターンが多いと思います。
AD連携なのか、それ以外の情報を取り込めるのか、どうなんでしょう。
まとめ
Quality Softから新たにリリースされた「ISM LogAnalytics」に関して、公式ページから読み取れる情報と、利用時に気になる部分を記載しました。
機能として、「PC操作ログ保管&検索」としては十分な機能を有しているように見えます。
しかし、公式ページで公言されていない下記の
- 利用料金
- ログアップロード方法と必要帯域
- レポートのカスタマイズ性
- 同一コンピュータ名が存在する場合の挙動
- 利用者名は何で引っ張る?
といった部分は、実際にQuality Softの営業さんや技術者の人たちに確認しないと駄目かなと思います。
あとは別の仕組みの取り込むのに、csv出力してデータを保存できるかなど、自社環境に応じた機能を確認する必要がありますね。(ブラウザ操作になるので、自動化とかは難しそうですね。SaaS型の勤怠システムとは連携できるそうですね。)
ともあれ、『最大7年間保管&検索』のインパクトは大なので、話は聞いてみる価値はあるかなと思います。
こういう仕組みはドンドン変わっていくので、カスタマイズするのが楽しいですね。
ぶっちゃけ、7年前のログを検索したいって事態にはお目に掛かったことはありません。
3年前くらいなら何度かあるかなと言った感じ。1年前は数ヶ月に1回くらいあるので、直近1年~2年のログ検索はマストだと思います。
ではでは