はじめに

ログ管理は、多くの組織で実施されています。 

クラウドでは、Cloud Run の実行ログや、Cloud SQL の実行ログなど、多くのログが生成されています。

Google Cloud の例では、Cloud Logging Bucket などにログを保管し、検索ができるようになっています。

しかし、一歩踏み込んで『ログの活用』まで行えている組織は、決して多くありません。
活用といっても、具体的に何をすればいいのか? と疑問を抱く方が大半だと思います

このブログでは、簡単にログを活用する方法について解説します。

ログの活用とは

ログ管理には、漏れのない取得、タイムスタンプ管理、安全な保管、検索性の担保など、多岐にわたる要件が求められます。

ログ活用は、検索性を担保するだけでなく、ビジネスの価値創出にログを活用しようというものです。
とはいえ、「いきなり活用と言われても、具体的に何をすべきかイメージが湧かない」というのが本音ではないでしょうか。

そこで今回は、セキュリティの文脈から活用方法をいくつかご紹介します。

CDR (Cloud Detection and Response)

CDR は、クラウド環境に対する攻撃や、クラウド環境からのデータ漏洩などを検知するための機能です。

具体的な例を挙げると、IAM の認証情報に対する不審なアクセスの検知や、データベースの公開権限変更などのリクエストを検知するような機能となります。

CDR としてログを活用することが可能です。

クラウド環境では、クラウドリソースの編集などの操作はログに記録されます。
これらのログをリアルタイムで分析することで、クラウド内で悪意ある攻撃が進行していないかを確認することが可能となります。

CIEM (Cloud Infrastructure Entitlement Management)

CIEM は、クラウド内の過剰な権限付与を検知する機能です。

クラウドに対する攻撃は、先の IAM の例にあるように、既存の権限を乗っ取って、攻撃者が悪意あるアクセスをすることが一般的となります。

その原因となる過剰な権限の付与を検知しようというものが CIEM となります。

たとえば、Administrator 権限が付与されており、普段使用していないサービス群や、業務上アクセスしない機密情報に対する権限を有してしまっているような場合は往々にしてあります。

CIEM を活用することで、そのユーザーのアクセス傾向を分析して、過剰な権限付与を検知することが可能です。

これも、普段のアクセス先をログから分析するというログの活用となります。

Sysdig によるログ活用

Sysdig は、CNAPP (Cloud Native Application Protection Platform) 製品の一つです。

Sysdig には、CSPM (Cloud Security Posture Management) や CWP (Cloud Workload Protection) だけでなく、先に挙げた CDR、CIEM の機能があり、クラウドのログを活用できます。

AWS の CloudTrail や Google Cloud Logging と連携することで、リアルタイムの分析が可能です。

まとめ

ログ管理を考えた際に、ログの保管、検索はおそらく多くの組織がすでに実現している基本機能です。
しかしながら、『ログの活用』となると十分に行えていないのが実情ではないでしょうか。

セキュリティの文脈では、CDR や CIEM はログ活用の最初の一歩です。
Sysdig などの CNAPP ソリューションを活用して、ログ活用を始めてみてください。