最近のソフトウェア開発プロジェクトのほとんどには、複数の開発者、運用エンジニア、QAテスター、マネージャーが関与しており、その全員がプロジェクトインフラストラクチャへのアクセスを必要としています。ただし、インフラストラクチャを変更するためのアクセスを有効にすると、セキュリティ侵害や法的紛争のリスクが高くなります。このため、組織は監査ログに基づいてインフラストラクチャ内の正確なアクションとインフラストラクチャに対する変更を記録することにより、起こりうるセキュリティ上の懸念に対処しています。

この記事では、監査ログを定義し、インフラストラクチャでのそのユースケースについて説明します。具体的には、クラウドとデータベースのアクティビティについて見ていきます。また、法的コンプライアンスや、データ量、ログの保持期間、慎重な評価を必要とする各種システム間の相関に関する一般的な課題についても検討します。

監査ログとは

監査ログは、情報システムに関連する内部アクティビティのレコードを集めたものです。これらのレコードが有用になるためには、次の情報が含まれている必要があります。

• アクションの影響を受けたコンポーネントはどれか？
• このアクションを実行したのは誰か？
• このアクションが実行されたのはいつか？
• どのようなアクションが実行されたか？

監査ログは、アプリケーションログやシステムログとは異なります。アプリケーションログには、外部ユーザーが実行したアクティビティが記録され、システムログには、オペレーティングシステムなどのソフトウェアによって実行されたアクティビティが記録されます。しかし、監査ログには、システムインフラストラクチャで内部ユーザーおよびサービスによって実行されたアクティビティのみが関係します。

不変であることは、監査ログの重要な側面です。監査ログレコードを変更すると、ログの整合性を低下させ無益にしてしまうため、誰にもその権限を与えないようにする必要があります。

ユースケース

監査ログは便利で有益であるだけでなく、特にクラウドインフラストラクチャとデータベースに関して、セキュリティおよび法的コンプライアンスの重要な目的を果たします。

クラウドインフラストラクチャに対する変更の追跡

クラウドネイティブプロジェクトは、多くの場合、多数のクラウドサービスで構成されています。パブリッククラウドの魅力は、そのインフラストラクチャの順応性、つまり、これらのクラウドサービスのスケールと設定が非常に動的であるかにかかっています。このため、クラウドプロバイダーを使用してソフトウェアを展開および管理する組織は、インフラストラクチャ内で行われた変更をすべて追跡できる必要があります。変更がそれほど重要でないように思われる場合も同じです。さらに、クラウドインフラストラクチャ上の悪意あるアクティビティを検知して、悪意あるアクションの正確なアクター、時間、性質を特定できる必要もあります。

多くのクラウドプロバイダーが、組み込みの監査ロギングサービスを提供しています。以下に例を示します。

• AWSのCloudTrail
• GCPのCloud Audit Logs
• Microsoft AzureのAzure Monitor

データベース管理とシステムアクティビティの追跡

バックエンドインフラストラクチャはデータベースに依存します。開発者はクラウドに展開されたデータベースをクラウドインフラストラクチャの一部と考えるかもしれませんが、データベース監査ログでは、データベースシステムで実行されたアクションにより深い焦点を当てます。例えば、データベース監査ログには、クライアントが接続および切断した日時と、それらのアクションの理由が報告されます。この情報は、潜在的なデータの誤用や歪みを立証するために重要です。

また、監査ログは、データベーススキーマに変更を加えたユーザーや、形式、データ構造、およびレコードの更新に影響を与えるスキーマコンポーネントに対する変更を追跡するためにも不可欠です。一部のデータベースはスキーマレスなので、その場合は監査ログがそれほど重要でないこともあります。ただし、リレーショナルデータベースの場合、監査ログは非常に重要です。

最も一般的に使用されているデータベースシステムには、監査ログプラグインと拡張機能が備わっています。以下に例を示します。

• PostgreSQLのPgAudit
• MySQLの監査ロギング
• MongoDBの監査

コンプライアンスと法的防御

特定の業界では、監査ロギングレベルを厳しく規制しています。例えば、フィンテックやメドテック分野の企業は、包括的レベルで監査ログを実装する準備を行う必要があります。多くの場合、定期的にログ分析を行って、指定された期間に悪意あるアクティビティがないことを確認する必要があります。業界の規制に加え、特定の認証によって高レベルの監査ロギングが義務付けられます。以下に例を示します。

• ヘルスケア業界の組織向けのHIPAAコンプライアンス認証
• IT業界の組織向けのISO 27001認証

一部の企業は、情報セキュリティコンプライアンス認証をパートナーやクライアントに提示する必要があります。結果として監査ログが、規制と認証の要件を満たしていることを証明します。

監査ログは、法的な紛争を解決する際にも役立ちます。紛争は、特に金融や医療など機密情報が関わる業界では予想以上に頻繁に発生するため、監査ログは重要な証拠の提出により企業を助けることになります。

監査ロギングの課題

監査ログはセキュリティとコンプライアンスにおいて重大な役割を果たしますが、その実装には困難が伴うことがあります。監査ログの保存に関連して考えられるいくつかの問題について考えてみましょう。

データ量

ソフトウェアプロジェクトは、多くの場合、動的コンポーネントで構成される高度なシステムです。監査ログのデータが膨大な量になり、保存に非常にコストがかかる可能性があります。このため、組織は、コンプライアンス要件、セキュリティポスチャ、およびシステム全体の機能に基づいて、どのログを保存するのが最も重要かを慎重に検討する必要があります。

ログの保持期間

一部の規制や認証では監査ロギングが明示的に義務付けられていますが、企業はコンプライアンスの要件を満たすために、これらのログを長期間保持する必要があります。例えば、HIPAAコンプライアンス認証の要件の1つは、企業が監査ログを6年間保持することです。ISO 27001認証では、企業は監査ログを少なくとも3年間保存する必要があります。

ログを長期間保持すると、経済的コストが発生するだけでなく、保守と管理のためのリソースも必要になります。

異なるシステムの監査ログの関連付け

ログ形式やプロトコルが異なるクラウドベンダーとデータベースベンダーの監査ログを関連付け、比較、分析することは大変な作業です。大量のログを処理するには差異の解決が必要になりますが、それには多大な時間と労力が必要です。また、詳細のレベルが一致していないこともよくありますが、それによってコンプライアンスが複雑になる可能性があります。

次世代SIEMおよびログ管理のための世界をリードするAIネイティブプラットフォームをお試しください

SIEMとログ管理のための最高水準のAIネイティブプラットフォーム、CrowdStrike Falcon^®プラットフォームでサイバーセキュリティを強化しましょう。ペタバイト規模でのセキュリティログを体験してみてください。クラウドネイティブ型または自己ホスト型での展開が可能です。ボトルネックの生じない、強力でインデックスフリーのアーキテクチャを利用してデータをロギングすれば、1日あたり1PB以上のデータを取り込んで脅威ハンティングに役立てることができます。リアルタイムの検索機能により攻撃者をしのぐスピードで対策を実施できます。複雑なクエリを実行しても、そのレイテンシーは1秒未満です。360度の可視性によりデータを統合してサイロ化を解消し、セキュリティ、IT、DevOpsチームがシームレスに脅威のハンティング、パフォーマンスのモニタリング、コンプライアンスの確保を行うことができます。30億件ものイベントにわたる作業でも1秒未満で実施できます。