SIEMで使用されるログの種類と形式

セキュリティ情報およびイベント管理（SIEM）ソリューションは、ネットワーク上の多様なデータを監視することで、ネットワークの健全なセキュリティ状態を確保します。ログデータには、ネットワーク内のデバイスやアプリケーションで発生するあらゆるアクティビティが記録されます。SIEMソリューションの役割は、ネットワークのセキュリティ体制を評価するために、さまざまな種類のログデータを収集・分析することです。

この記事では、ネットワークセキュリティを確保する上で、SIEMソリューションを活用して収集・分析すべきログデータの種類を詳しく説明します。

ログデータの種類

SIEMソリューションの監視対象となるログは、以下の6種類です。

• 境界デバイスログ
• Windowsイベントログ
• エンドポイントログ
• アプリケーションログ
• プロキシログ
• IoTログ

1.境界デバイスログ

境界デバイスの役割は、ネットワークを出入りするトラフィックの監視・制限です。ファイアウォール、仮想プライベートネットワーク（VPN）、侵入検知システム（IDS）、侵入防止システム（IPS）などが境界デバイスに該当します。境界デバイスは大量のデータを含むログを生成し、このログは、ネットワークで発生するセキュリティイベントを把握する上で欠かせません。Syslog形式で生成されたログデータは、セキュリティ監査の対応、運用トラブルの解消、ネットワークトラフィックの正確な把握に役立ちます。

境界デバイスのログデータを監視すべき理由

• 不正なトラフィックを検知する：境界デバイスのログには、着信トラフィック、ユーザーが閲覧したWebサイトのIPアドレス、失敗したログオン試行などの詳細が含まれているため、異常なトラフィック動作の追跡が可能になります。
• セキュリティ上の設定ミスを検知する：セキュリティに関わる設定ミスは、ファイアウォールで発生する侵害の主要な原因となっています。ファイアウォールの設定を一部変更するだけで、悪質なネットワークトラフィックの侵入を許してしまう可能性があります。ファイアウォールのログを監視することで、セキュリティ設定の不正な変更を検出できます。
• 攻撃を検知する：ファイアウォールログの分析は、ネットワークアクティビティのパターン検出に役立ちます。たとえば、短期間にサーバーがクライアントから大量のSYNパケット（接続要求）を受信した場合、DDoS（分散型サービス拒否）攻撃が発生している可能性があると分かります。

典型的な境界デバイス（ファイアウォール）のログデータの詳細

上記のログエントリには、イベントのタイムスタンプに続いて処理内容が記載されています。この例では、ファイアウォールがトラフィックを許可した日付と時刻、使用されたプロトコル、送信元と宛先のIPアドレスやポート番号といった詳細情報が含まれています。このようなログデータを監視することで、使用していないポートへの接続試行を検知し、悪意のあるトラフィックを特定することが可能です。

2.Windowsイベントログ

Windowsイベントログは、Windowsシステムで発生したイベントや操作の記録です。
Windowsのログデータには、以下のような種類があります。

• Windowsアプリケーションログ：Windowsのアプリケーションによって記録されるイベントのログです。たとえば、アプリケーションの強制終了の原因となったエラーが記録されます。
• セキュリティログ：システムのセキュリティに影響を与える可能性のあるイベントのログです。失敗したログイン試行や、ファイルの削除などのイベントが記録されます。
• システムログ：OSによって記録されたイベントのログです。プロセスやドライバーが正常に読み込まれたかどうかを記録します。
• ディレクトリサービスログ：Active Directory（AD）サービスによって記録されたイベントのログです。権限の認証や変更などのADに関する操作が記録されます。ディレクトリサービスログは、ドメインコントローラー上でのみ確認可能です。
• DNSサーバーログ：クライアントのIPアドレス、クエリされたドメイン、リクエストされたレコードなどの情報が記録されたDNS（ドメインネームシステム）サーバーのログです。DNSサーバーでのみ確認可能です。
• ファイルレプリケーションサービスログ：ドメインコントローラーのレプリケーションに関するイベントのログです。ドメインコントローラーでのみ確認可能です。

Windowsイベントログを監視すべき理由

• サーバーのセキュリティを確保する：重要なサーバー（ファイルサーバー、ADドメインコントローラーなど）の多くは、Windows環境で動作しています。重要なリソースで発生しているイベントを把握するには、このログデータの監視が欠かせません。
• Windowsワークステーションのセキュリティを確保する：イベントログは、デバイスの動作に関する有益なインサイトを提供します。デバイスで生成されるWindowsイベントログを監視することで、ユーザーアクティビティの異常な動作を特定し、攻撃を早期に検知できます。攻撃が発生した場合は、ログを活用してユーザーの操作履歴を再現できるため、フォレンジック調査に役立てられます。
• ハードウェアコンポーネントを監視する：Windowsイベントログの分析により、ワークステーションのハードウェアコンポーネントで起きている不具合の原因が特定でき、問題の診断が円滑に進みます。

典型的なWindowsイベントログの詳細

Windowsのイベントは、重大度に基づいて「警告」「情報」「重大」「エラー」に分類されます。この例のセキュリティレベルは「Warning（警告）」です。上記は、WLAN AutoConfigサービス（ユーザーを無線LANに動的に接続するための接続管理ツール）のログエントリです。重大度に続いて、イベントが発生した日付と時刻が記載されています。このログから、一部のネットワーク接続に制限がかかっていることをWLAN AutoConfigが検知し、自動回復処理を試行していることが分かります。SIEMソリューションは、このログを活用し、同じタイムスタンプが付された同様のログが他のデバイスでも生成されていないかを照合することで、ネットワーク接続の問題を解決します。

3.エンドポイントログ

エンドポイントは、ネットワークに接続され、サーバーを介して他のデバイスと通信するデバイスです。デスクトップPC、ノートパソコン、スマートフォン、プリンターなどが該当します。リモートワークの普及に伴い、エンドポイントがネットワークへの侵入ポイントとなり、攻撃者がエンドポイントを侵入経路として狙うリスクが増大しています。

エンドポイントログを監視すべき理由

• リムーバブルディスクのアクティビティを監視する：リムーバブルディスクは、多くの場合、マルウェアのインストールやデータ流出に対する脆弱性があります。エンドポイントログを監視することで、このような悪意のある行為を検知できます。
• ユーザーアクティビティを監視する：ユーザーは、デバイス上でソフトウェアをインストールまたは使用する際、組織内外の規制ポリシーを遵守する必要があります。エンドポイントログを使用することで、ポリシーが守られているかどうかを監視し、違反を検知した際は通知できます。

典型的なエンドポイントデバイスログの詳細

上記のログは、Terminal Services Easy Printドライバーでエラーが発生したことを示しています。この内容は、エラーソースとイベントID（1111）から読み取ることができます。ファイルの印刷中に問題が発生した場合は、ログを分析することによって、正確な原因を特定して問題を解決できます。

4.アプリケーションログ

企業では、特定の機能を担う各種アプリケーション（データベース、Webサーバーアプリケーション、その他の社内アプリケーションなど）が活用されています。このようなアプリケーションは、ビジネスを効果的に運営する上で不可欠なツールです。すべてのアプリケーションではログデータが生成され、アプリケーションで発生したイベントに関するインサイトを入手できます。

アプリケーションログを監視すべき理由

• 問題を解決する：アプリケーションログは、アプリケーションのパフォーマンスやセキュリティに関連する問題を特定・修正する際に役立ちます。
• アクティビティを監視する：データベースで生成されるログは、ユーザーによるリクエストやクエリを記録し、ファイルへの不正アクセスやデータ操作の試みを検知するために使用されます。また、データベースのトラブルシューティングを行う際にも役立ちます。

典型的なアプリケーションログの詳細

上記は、Oracleデータベースシステムのログエントリです。ホストコンピューターからの接続試行について記録されています。このログには、データベースサーバーがリクエストを受信した日付と時刻が示されています。また、リクエストを行ったユーザーとホストコンピューター、IPアドレス、ポート番号も確認できます。

5.プロキシログ

プロキシサーバーは、プライバシーの保護、アクセスの制限、帯域幅の最適化など、組織のネットワークにおいて重要な役割を果たしています。すべてのWebリクエストとレスポンスはプロキシサーバーを経由するため、プロキシログには、ユーザーの使用状況や閲覧行動に関する有益な情報が含まれています。

プロキシログを監視すべき理由

• ユーザー行動のベースラインを構築する：収集したプロキシログを活用してユーザーの閲覧アクティビティを分析することで、ユーザー行動の標準的なパターンを明確化できます。ベースラインからの逸脱が発見された場合、データ侵害を示唆している可能性があり、詳細な調査が求められます。
• パケットのサイズを監視する：プロキシログは、プロキシサーバーを介して交換されるパケットのサイズを監視する上で役立ちます。たとえば、ユーザーが一定の時間間隔で同じサイズのパケットを繰り返し送受信している場合、ソフトウェアのアップデートか、マルウェアとコントロールサーバーの通信が行われている可能性があります。

典型的なプロキシログの詳細

上記のログから、User-001が、ログに記録されている日付と時刻にWikipedia.comのページをリクエストしたことが読み取れます。ログのリクエスト、URL、タイムスタンプを分析することで、パターンを検出し、問題発生時には証拠として活用できます。

6.IoTログ

IoT（モノのインターネット）とは、インターネットを介してデータを交換する物理的なデバイス同士のネットワークであり、さまざまなデバイスが相互に通信する仕組みを指します。IoTデバイスには、データの収集・処理・送信を可能にするセンサー、プロセッサー、ソフトウェアが組み込まれています。エンドポイントと同様に、IoTシステムを構成するデバイスもログを生成します。IoTデバイスのログデータから、ハードウェアコンポーネント（マイクロコントローラーなど）の動作、デバイスのファームウェアの更新要件、デバイスを通過するデータフローに関する有益な情報を入手できます。IoTシステムのデータをログに記録する際に重要となるのは、ログデータの格納場所です。IoTデバイスにはログを格納するための十分なメモリーがないため、ログを長期間保管できる一元管理ソリューション（SIEMソリューション）にログを転送する必要があります。ログが転送された後、SIEMソリューションがログを分析し、エラーのトラブルシューティングやセキュリティ脅威の検出を行います。

通常、上記のデバイスで生成されるログは一元的なログ管理ソリューションに転送され、データの相関分析を通じてネットワークセキュリティの概要情報が提供されます。ログは、さまざまな形式（CSV、JSON、キー・バリュー形式、共通イベント形式など）で格納され、送信されます。

さまざまなログ形式

CSV

CSVは、値をコンマで区切った形式で保存するファイル形式です。プレーンテキスト形式のため、使用するソフトウェアに関わらず、簡単にデータベースにインポートできます。また、CSVファイルは階層型でもオブジェクト指向型でもないため、他のファイル形式に変換しやすいのが特徴です。

JSON

JSON（JavaScript Object Notation）は、テキストベースの構造化されたデータ形式です。構造化された形式であるため、保存されたログの解析やフィールドに対するクエリが可能です。このような機能により、ログ管理において信頼性の高いフォーマットとして評価されています。

キー・バリュー形式

キー・バリュー形式は、キーと、そのキーに対応する値という2つの要素で構成されています。キーは定数であり、値はデータ項目ごとに異なります。同じキーを持つデータはグループ化されます。特定のキーに対してクエリを実行すると、そのキーを持つすべてのデータを抽出できます。

共通イベント形式

共通イベント形式（一般にCEFと呼ばれる）は、さまざまなデバイスやアプリケーションのログデータを簡単に収集・保存できる、ログ管理に特化した相互運用性の高いフォーマットです。共通イベント形式は、Syslogメッセージ形式を基盤としています。広く採用されているログ管理のフォーマットであり、さまざまなベンダーやソフトウェアでサポートされています。また、この形式は、CEFヘッダーとCEF拡張部分（キー・バリュー形式のログデータを含む）で構成されています。

上記のとおり、ログデータとログ形式にはさまざまな種類が存在します。そして、さまざまなデータソースから多種多様なログを手動で収集して相関付けするには、手間と時間がかかります。このような場合に役立つのがSIEMソリューションです。ManageEngineのLog360のようなSIEMソリューションは、さまざまなソースから収集されたログを分析し、データを関連付けできます。これにより、サイバー攻撃の検知や、攻撃発生後の復旧に役立つインサイトを提供します。