こんにちは、CS事業部のneitengです。
SASE導入後、運用フェーズで「ログをどのように保存・管理・活用するか」についてお困りではないですか??
セキュリティ対策の肝となるSASEログの長期保存と活用は、多くの企業が頭を悩ませる課題です。」
本日は、SASEのログ保存の選択肢とメリットデメリット、おすすめ方法について解説していきます。
なぜログの長期保存が必要なのか?
日本セキュリティ監査協会が公開するサイバーセキュリティ対策マネジメントガイドラインでは、「 保存期間は1年以上とすることが望ましい。」と明記されています。
実際、株式会社サイバーセキュリティクラウドの調査では、サイバー攻撃発生から発覚までの平均は約397日(1年以上)との報告も出ています。
もしログが無ければ、インシデント発生時に原因特定に時間がかかり、被害が拡大する恐れがあります。また、法令遵守の観点からも長期保存は不可欠です。
一方で、近年、クラウド管理のセキュリティサービスは、デフォルトで数か月ほどしかログを保持しないサービスが増えており、ユーザ企業側での補完が求められています。
SASEログ保存の主な方法と選択肢
そこで、ログの長期保管を考える場合には、以下の方法が考えられます。
1.サービス本体のネイティブの保存機能を活用
2.オンプレサーバやクラウド上(S3など)のストレージに保存
3.CSV・JSON形式で定期的にエクスポートし保存
4.SIEMに保存
各方法のメリット・デメリット
但し、1~4の方法については、それぞれ良し悪しがあります。
| メリット | デメリット | |
| 1.ネイティブの保存機能 |
・多くの場合、専用の見やすいダッシュボード付 ・導入が容易 |
・無償保存期間は数か月。それ以上は高額の場合が多い ・EDRなど他製品との相関分析ができない ・表示イベント数が制限される場合あり。 ・ダッシュボードのカスタマイズができない |
| 2.オンプレサーバやクラウド上(S3やABSなど)のストレージに保存 |
・比較的低コスト ・(クラウドの場合)ストレージ拡張が容易 |
・検索/分析は別途ツールが必要 ・アラート設定/ダッシュボードでの可視化ができない |
| 3.CSV・JSON形式で定期的にエクスポート |
・コストが最小限に抑えられる |
・検索/分析は別途ツールが必要 ・ アラート設定/ダッシュボードでの可視化ができない ・セキュアな保管環境が必要 ・手動運用になりやすく、取得忘れ等ミスが発生しやすい |
|
4.SIEMに保存 |
・アラートの設定や通知、検索/対応が可能 ・EDRやIDaaSなどとの統合管理/相関分析ができる ・見やすくダッシュボードをカスタマイズできる |
・比較的コストがかかる場合が多い |
まとめ
SASEのログ保存は、単なるデータ保管ではなく、有事の際に迅速な対応を可能にする重要な基盤となります。また、普段からログを活用することで、インシデントに早く気付く仕組みを作ることができます。
どのような方法でログ保存をするかは、各社の要件次第となりますが、少なくとも1年は長期保存することがセキュリティ上の必須要件といえます。特に、セキュリティ対策としては、SIEMでの保存・可視化・分析が効果的です。
最後に、当社サービスのご案内です。
当社のSIEM製品「SumoLogic」にて、CATO Networks、Zscaler、Netskope、Prisma Accessのログ長期保管・可視化・分析が可能です。(もちろん他のSASEログもご相談ください。)
上記で懸念となるコスト面については、SASEネイティブの機能で保存するよりも、1/5の価格で保存・可視化・分析が可能になった事例もあります。
*価格に関する記事はこちら☞:SIEMマーケットに革命を起こす Sumo Logic Flexプライシングについて
https://cloudsolution.terilogy.com/blog/sumologic-article-for-beginners-about-flex-license
また、ログを取り込むだけで、SumoLogic側で用意しているダッシュボードにてすぐに可視化ができたり、当社で作成した「見るべきポイントを絞った」ダッシュボードをサービスでご提供することも可能です。
SASEのログ保存・可視化でお困りの方は、是非、お問い合わせください。
*実際のご提供ダッシュボードはこちら(例:CATO)☞:https://cloudsolution.terilogy.com/blog/sumo-logic_terilogy-blend-for-catonetworks
- カテゴリ:
- Sumo Logic
- SASE
