• ガバナンス
  • 運用・管理

Boxのログ、取得しただけで終わっていませんか?セキュリティなどに活用するには?

セキュリティ対策としても重要な「ログ」

Boxでは標準でログを取得できるけれども、そのままでは活用できない

企業のセキュリティ対策として重要な役割を果たす「ログ」。ログがなければ、そのシステムでだれがどういった操作をしたのか分からず、セキュリティインシデントが発生した際に、原因を究明することができません。
クラウドストレージサービス「Box」は標準でログを取得できることが特長のひとつ。ですが、あくまでもここではログを記録しているのみ。ログだけ記録していても、そこからなにが起きているのかを手作業で把握するのはかなりの手間がかかり、異常が発生してもすぐに検知できません。セキュリティ対策として考えるならば、ログを分析し、活用するための基盤を整えておく必要があります。

ログ活用に勧めたいログ可視化・分析プラットフォーム「Splunk」

あらゆるシステムのログを解析・可視化。Boxにも対応

ログ分析のソリューションとしてお勧めしたいのが「Splunk」です。Splunkはあらゆるシステムのログを自動で解析、インデックス化することで、ログを可視化・分析できるプラットフォーム。様々なログを相関分析することも可能になり、サイバー攻撃や、その予兆検知を実現するSIEM(Security Information and Event Management)ソリューションとして注目されています。
また、Splunkでは「Splunk Add-on for Box」という無償の連携コネクタが用意されており、Boxのイベントログから、ログイン、ファイルアクセス、コラボレーション、リンク発行などの情報を抽出することが可能に。Boxで「異常な操作が行われていないか」「該当する時間になにが起きたのか」などを追跡できるようになります。

Boxログの課題を解決するツールを丸紅ITソリューションズが独自開発

しかし、Boxの標準ログから取得できるのは、ファイル名称と格納されているフォルダ名まで。ファイルを特定するためのパスは含まれていないため、どこのフォルダ配下にあるファイルに対して操作が行われたのかを特定できません。そのため、たとえばファイル共有操作が行われた際に「外部共有禁止フォルダのなかで行われたかどうか」を判断できないことに。これでは、セキュリティ対策としてあまり意味がありません。
そこで、丸紅ITソリューションズでは、ファイルのパスを取得するツールを独自に開発。このツール自体は比較的シンプルなものですが、一定以上の規模の企業では、Boxのログも膨大になり、そのログに対して高速でAPIを実行し続けることが求められます。丸紅ITソリューションズのツールではもちろんこの点もクリア。ここにこそ、Boxについて豊富な実績と高い技術力を持つ、丸紅ITソリューションズの強みがあります。

Splunkで実現するBoxのセキュリティ対策

では、SplunkでBoxのログを分析することで、具体的になにができるのでしょうか?

カスタムでルールを設定することで、異常な操作を検知

「そのとき、なにが起きたか」をログから追跡できることがSplunkの強みですが、ログをリアルタイムに分析することで、異常な操作を検知することも可能になります。たとえば、下記のようなものを検知できます。

  • 特定ユーザのログイン失敗(ブルートフォース攻撃)
  • 特定IPアドレスからのログイン失敗(パスワードスプレー攻撃)
  • 大量のファイルダウンロード
  • 大量のデータ削除
  • 危険な地域からのアクセス
  • 特権アカウントによるファイルダウンロード

これらは、情報漏えいなどのセキュリティインシデントになりかねない、リスクが高い操作です。リアルタイムに検知し、早期に対策を打てるようになることで、重大なインシデントの防止にもつながります。

複数システムのログを一気通貫で分析

Splunkは、Boxのログだけを分析するのではなく、複数システムのログをあわせて分析できることが強み。たとえばBoxで不正な処理があった時間に、同じIDでほかのシステムではどんな操作をしていたのか、などを簡単に把握できます。
IDaaSである「Okta」などのシングルサインオン機能により、IDを統一していた場合、万が一IDが漏えいしてしまったら、複数のシステムに影響が出てしまいます。「該当IDで、該当する時間に、なにをしていたか」複数システムを横断して検索・確認できるSplunkの統合的な分析能力は大きなメリットと言えるでしょう。

セキュリティ対策だけではない。幅広くビジネスに活用できるSplunk

売上や購買傾向の分析など、ビジネス観点での活用も

SIEMなどセキュリティ領域での活用が注目されるSplunkですが、その用途はセキュリティに限りません。発注システムなどのログから売上につながるデータを集計する、顧客の購買傾向を分析し、離脱防止の対策につなげる、Webサイトのアクセスログを分析・可視化し、より効果的なサイト構築を目指すなど、活用法は様々です。
また、グラフィカルなダッシュボードを生成できる点もSplunkの特長です。値の変化を追跡するためのグラフや、地図上へのマッピングなどでは、視覚的に分かりやすいダッシュボードが有効。注意したいポイントなどにあわせたダッシュボードを簡単に作れることで、さらに活用の幅が広がります。

Boxのログ分析から、Splunk活用を推進しては

そもそもBoxは、セキュリティ面を重視して導入する企業が多いです。にもかかわらず、「ログは取得するだけ」というのでは、やはり対策として不安が残ります。ログ分析できるツールを導入し、不正がないか、異常がないかをきちんと把握できる体制は必須。Splunkならば、SIEMとしての活用はもちろん、その後の活用の幅も広いことから、費用対効果も大きくなるはず。今後のデータ活用や、デジタルトランスフォーメーションといった観点でも有効と言えるでしょう。まずはBoxのログ分析基盤として導入してはいかがでしょうか?

recommended

こちらも興味はございませんか?