（右から）ジュピターテクノロジー営業部 部長の上田政弘氏、技術部 技術1課 課長の本木文彦氏

　特定の組織をターゲットにした標的型攻撃が後を絶たない。現状では完璧な防御が難しいなか、迅速に検知・対処し被害を最小限に食い止める対策として、ログ管理サーバーへの関心が高まっている。

　標的型攻撃においては、侵入した脅威が外部のC＆Cサーバーと通信しながら、企業ネットワーク内部で活動を行う。

　そのため、攻撃の開始から終了までの記録がファイアウォールやDNSサーバー、メールサーバーなどの通信経路上に残る。通常とは異なるパターンによるアクセスから早期に攻撃を発見したり、実際に攻撃を受けた場合に被害の状況や影響の範囲を把握するのにログデータが役立つのだ。

　そこで、セキュリティ調査に必要なログを漏れなく収集し、長期にわたって安全に保管することができるログ管理サーバーを導入する企業が増えている。

長期保存のためのセキュリティ機能　クラウド化の流れに対応

　ネットワークセキュリティの専門技術商社であるジュピターテクノロジーが、規模や業種を問わず推奨しているのが、ログ管理製品の世界的なリーダーであるハンガリーBalabit社（現One Identity社）が開発したアプライアンス型の「syslog-ng Store Box（以下、SSB）」だ。

図表　syslog-ng Store Boxの全体イメージ

　SSBの最大の特長が、7万エントリー／秒（最上位機種T10の場合）という超高速処理性能を備えること。「一般的なログ管理サーバーは5000エントリー／秒程度で、処理性能を向上するにはスケールアウト（クラスタリングなど複雑なシステム構成）が必要になります。SSBは特に膨大なデータを扱う企業やログの暗号化などセキュリティの強化を図りたい企業に適しています」とジュピターテクノロジー 営業部 部長の上田政弘氏は話す。

　ログは暗号化されるので、保存している間に改ざんされる心配もない。クレジットカード情報保護のセキュリティ基準「PCI DSS」等にも準拠しており、企業のコンプライアンス対応を支援する。

　また、既存のSIEMと連携することで、大量のログデータから信頼度の高いレポートが得られる。「必要なログだけをSIEMに送るので、SIEMでログを収集するよりマシンの負荷も軽減されます」と技術部 技術1課 課長の本木文彦氏は説明する。

　2018年6月発売の最新バージョン「5LTS」は、「クラウド」「大規模環境」の側面から機能を拡張した。

　“クラウドシフト”の流れを受けて、Amazon Web Services（AWS）以外にMicrosoft Azureにも対応。ハードウェアアプライアンスでは、10Gbitインターフェースもサポートし、大容量データ管理を実現。VMwareに加え、Microsoft Hyper-Vを正式にサポートした。

　通信キャリアやサービスプロバイダーは、日々の業務の中で大量のログデータが発生する。近年ではキャリアグレードNAT（CGN）の管理でSSBの利用を検討頂くケースも増えており、こうした企業にも5LTSを提案していきたい考えだ。