ログの適正評価で実現する、攻撃の可視化と迅速な対応体制強化事例
クライアントの課題・背景
金融企業I社様は、システム基盤の更改後、サイバー攻撃へのインシデント対応力強化が急務となっていました。
システムの多様化やクラウド・仮想環境の活用が進む中で、「ログが出力されていること」と「ログがインシデント調査に活用できること」の違いを明確にし、実際に攻撃が発生した際、保全しているログを活用してインシデント調査を行い、発生事象に対して迅速に対応できる環境と体制の整備が求められていました。
当社の関わり方・提供したサービス
当社は、I社様よりご提供いただいた約50GBにおよぶ大量のログデータをもとに、以下の観点から評価・アドバイスを行いました。
- 評価対象の網羅
○ファイアウォール(Fortigateシリーズ)
○Linux/Windowsサーバ(Red Hat Enterprise Linux, Windows Server 2022)
○各種ミドルウェア(Postfix, BIND, Apache, WebLogic, MS SQL Server, Oracle DB など)
- 評価項目の整理
○通信ログ、認証ログ、システムログ、監査ログ、サービスログの5分野を中心に「攻撃の痕跡が追えるか」という観点で整理。
- 実用性の検証
○保全されているログが、攻撃元IPアドレスの特定、影響範囲の把握、アクセス記録の可視化にどこまで活用可能かを評価。
- 改善ポイントの抽出と助言
○各OS・機器・サービスごとに、ログ取得設定や保存期間、相関分析への対応度について助言。
インシデント発生時に原因特定や影響範囲の把握のために、各種ログの収集・分析が不可欠以下のプロセスを満たし、有事の際に迅速かつ的確な対処ができるよう評価。
成果・導入効果
- 「取得できているか」から「活用できるか」へ評価軸を転換:技術チーム内での共通認識が生まれ、定期的なログ点検の体制が整いました。
- インシデント時の初動対応スピードが向上:通信の成否や影響範囲を迅速に確認できるようになり、判断・報告・対応の一連のサイクルが加速。
- システム全体に対する安心感の向上:複数環境を跨いだログ評価によって、構成全体のセキュリティ状態が俯瞰できるようになりました。
クライアントのコメント
「対象システム基盤のログについて『セキュリティの専門家に確認されている』という安心感が、運用者にとって大きなポイントとなりました。外部からの指摘で見えていなかったログの“活用性”や”改善点”に気づけたのは大きな価値でした。」
担当者視点のこだわり・工夫
お客様環境で発生し得るインシデントに対して、「被害の最小化」と「原因および影響の追跡可能性」の観点から、「網羅性」と「実効性」を評価しました。
単なるログ取得状況の確認にとどまらず、「このログで何ができるのか」「どこまで調査ができるのか」といった実用性の視点を重視して評価を行いました。特にマルチOSおよび多層システムにまたがる分析において、各OSの特性やミドルウェアの仕様を踏まえたうえで、具体的な助言を提供しました。
業界や企業規模の特徴への適応
金融系サービスを提供する同社にとって、24時間365日の可用性と正確な障害切り分けは命綱です。クラウドとオンプレのハイブリッド環境を前提に、シームレスな対応を支援する評価設計を行いました。
未来視点・読者へのメッセージ
インシデントは「発見」と「対応」のスピードが全てです。ログは“残すだけ”から“活かす”時代へ。守りの基盤として、そして経営判断を支える武器として、ログの戦略的活用が求められています。
RELATION
関連記事
CONTACT
万が一のインシデントに備えませんか?
私たちが情報セキュリティをまとめて解決します
ご不明な点はお気軽に
お問い合わせください
