OSSで始めるセキュリティログ収集 保留
このプロポーザルはまだ採択されていません。もしこのセッションをカンファレンスで見たいと感じた場合は、ぜひソーシャルメディア等でシェアしてください。プロポーザル採択の審査には、SNSでのシェア数も考慮に入れられます。
概要
osqueryやElasticsearchといったOSSを利用してサーバ内部のログを収集し、
不正な侵入や従業員の操作ミスなどによる問題を即時検知・分析できるようにします。
また実際のセキュリティログ運用事例を紹介します。
背景
標的型攻撃や不正ログインによる情報流出などが近年話題となり、セキュリティへの注目度が高まっています。
セキュリティ対策としてログの採取は多くの組織で行われていますが、
運用の中で実際にログを調査している組織は稀で
ログデータが活用されているとは言い難いのが今の実情のようです。
また、通信データを元にした従来のアプライアンスだけではログが十分採取されていなかったために
インシデントが発生した後で専門家が調査に入っても詳細が解明できないケースも発生しています。
考察
セキュリティ専門家と相談して信頼できるセキュリティアプライアンスを導入するのが望ましいと思いますが、
ライセンスでクラウドのオートスケールと相性が悪かったりアラートの設定が複雑だったりと
コストや運用面で導入が難しいケースがあります。
セキュリティのOSSに関する日本語の情報は10年以上前の事例が多く、
ツール自体が既にメンテナンスされていなかったり
現代の構成管理ツールやDockerによるImmutable Infrastructureを前提にしたシステムでは
過剰な監視だったりするケースがあるようです。
そこで、私なりに考えて最近運用しているログ収集の構成を紹介します。
提案
本セッションでは各サーバ内部での動作ログまで取得することで
不審な挙動を早期に発見・通知するしくみを用意します。
国内ではまだあまり事例の少ないosqueryと
Fluentd, Elasticsearch, Elastalertなどを組み合わせてログを集約・分析できるようにし、
SlackなどのSNSと連携させた運用の実例を紹介します。
発生頻度が低いイベントは別系統(SNS)から確認を取ることで一種のMFAとなり、
問題検出までの時間を大幅に短縮することが出来るでしょう。
情報
| レベル | 初級者 |
| 開始日時 | N/A |
| 部屋 | |
| セッション時間 | 30分 |
| 講演に使用される言語 | 日本語 |
| 同時通訳 | 無 |
| スライド言語 | 日本語 |
| 撮影許可 | 許可 |
| 録画許可 | 許可 |
| 素材利用許可 | 許可 |
以下のボタンを押すと、の登壇時間等の確認をし、登壇することに同意したものとされます。