OSSで始めるセキュリティログ収集 accepted

Abstract

osqueryやElasticsearchといったOSSを利用してサーバ内部のログを収集し、
不正な侵入や従業員の操作ミスなどによる問題を即時検知・分析できるようにします。

また実際のセキュリティログ運用事例を紹介します。

背景

標的型攻撃や不正ログインによる情報流出などが近年話題となり、セキュリティへの注目度が高まっています。

セキュリティ対策としてログの採取は多くの組織で行われていますが、
運用の中で実際にログを調査している組織は稀で
ログデータが活用されているとは言い難いのが今の実情のようです。

また、通信データを元にした従来のアプライアンスだけではログが十分採取されていなかったために
インシデントが発生した後で専門家が調査に入っても詳細が解明できないケースも発生しています。

考察

セキュリティ専門家と相談して信頼できるセキュリティアプライアンスを導入するのが望ましいと思いますが、
ライセンスでクラウドのオートスケールと相性が悪かったりアラートの設定が複雑だったりと
コストや運用面で導入が難しいケースがあります。

セキュリティのOSSに関する日本語の情報は10年以上前の事例が多く、
ツール自体が既にメンテナンスされていなかったり
現代の構成管理ツールやDockerによるImmutable Infrastructureを前提にしたシステムでは
過剰な監視だったりするケースがあるようです。

そこで、私なりに考えて最近運用しているログ収集の構成を紹介します。

提案

本セッションでは各サーバ内部での動作ログまで取得することで
不審な挙動を早期に発見・通知するしくみを用意します。

国内ではまだあまり事例の少ないosqueryと
Fluentd, Elasticsearch, Elastalertなどを組み合わせてログを集約・分析できるようにし、
SlackなどのSNSと連携させた運用の実例を紹介します。

発生頻度が低いイベントは別系統(SNS)から確認を取ることで一種のMFAとなり、
問題検出までの時間を大幅に短縮することが出来るでしょう。

Video
Slides
Session Information
Confirmed confirmed
Material Level Beginner
Starts On 8/5/17, 1:30 PM
Room Multi-Purpose Room 1
Session Duration 30 min
Spoken Language Japanese
Interpretation Unavailable
Slide Language Japanese
Photo Release Allow
Recording Release Allow
Materials Release Allow