こんにちは。サイオステクノロジー技術部 加藤です。de:code2019のセッションレポートをお届けします。
今回はこちらのセッションを紹介します。
DevSecOps 時代のログ マネジメントとセキュリティ
DevSecOpsを進める中でのログマネジメントの概念・設計について、またインシデントハンドリングを効率的に進める環境整備について日本マイクロソフト株式会社CSOの河野 省二氏がスピーカーをされていました。
ログ設計のロジック
開発で使用したログ(開発者向けのログ)をそのまま運用や監視で利用とするあまり、経営者や監査人が求める情報を提供できなかったり、無駄なログが多く適切なレポートを作成できないシステムが少なからずあるようです。その状況から適切なログシステムを構築するうえで有効なのがログを利用スキームによって分けるということでした。
ログ管理を実施するからには目的のアクション(作業)があるわけで、その間にはレポート、判断のフェーズが必要となります。また、ログの利用スキームとは言い換えれば誰のために、何のためにログを取るのかということです。具体例として、3パターン紹介されました。
| 誰のため | 何のため | |
| 開発ログ | 開発者 | プログラム改善 |
| 運用ログ | 運用担当者 | メンテナンス |
| 監査ログ | 監査者 | 監査 |
これらの目的を達成するために取得する情報を洗い出すわけですが、目的の作業から判断、レポートのフェーズへと逆引きで考えると必要十分なログ取得を実現しやすいとのことでした。
また、運用ログではITパフォーマンスの判断など開発者が決定できない事項があると思います。さらに運用ログを経営戦略に活用するなど利用スキームが変化していくこともあり得ます。そのため、スキームの対象者に向けたダッシュボード、セルフサービスインターフェイスを設計するなどUIを含めてのログ設計が必要となります。
DevSecOpsとレジディエンス
攻撃者は機会損失となるサービス停止を狙っているわけですから、どんなインシデントでもサービスを止めないことがDevSecOpsの目指すべきセキュリティというお話があり、そのためにログ管理から判断までの時間を短縮することが必要とのことでした。ログの量を少なくすることと、作業を自動化することでインシデント発生から迅速に作業に取り掛かれる環境を作るそうです。
まずログ管理→レポートには膨大なイベントを基に予め処理を用意しておくインテリジェンスで自動化することで迅速なレポート生成を実現します。そして判断のためにAIやBIで人のサポートを行うことができるとのことでした。
まとめ
ログを活用できるように収集するという前提の基、利用スキームから設計方針を考えていく要点が分かりやすく紹介されていました。この概念はAzure MonitorやPower BIのログ管理機能、レポーティング機能で簡単に実現できるものも多く、Azrueのセキュリティを担保するための基本であることが伺えました。
また、Azrue Monitorを筆頭にAzureの監視ツールはブランド統合など機能の集約化が行われています。オンプレミス・マルチクラウドに及ぶログ管理ソリューションのAzure Sentinelが今年発表されたことからも、組織のデータを統合し一元的に管理、利用する潮流が印象的でした。
