2019年3月5日火曜日

そのログ暗号化していますか? syslog-ng Store Box (SSB)

ログサーバーに保存したログ、そのログを暗号化していますか?

ログをテキスト形式のまま保存すると、第三者から簡単に覗き見され、改ざんも容易に行われてしまいます。さらに、機密情報の漏洩にもつながります。収集したログを暗号化して保存することは、GRC(Governance Risk Compliance)管理でのセキュリティ対策やPCI DSSの要件にも求められています。

syslog-ng Store Box(SSB)では、収集したログを公開鍵暗号方式を使用して、安全にログを保管することができます。

SSBは、アーカイブ(外部ストレージに保管)している、暗号化されたログファイルも閲覧・検索することが可能です。

今回は、syslog-ng Store Box(SSB)でログを暗号化して保存する方法と、暗号化したログを復号し閲覧・検索する方法について紹介します。

  1. はじめに
  2. ログストアの暗号化
  3. 暗号化されたログの閲覧
  4. 暗号化アルゴリズムの変更

はじめに

ここでは、syslog-ng Store Box(SSB)のログスペース(ログストア)を暗号化する手順について説明します。

SSBでは公開鍵暗号方式を使用してログスペース(ログストア)を暗号化することができます。デフォルトの暗号化アルゴリズムは "aes-128-cbc"、ダイジェストアルゴリズムは "SHA-1" です。

証明書や秘密鍵にはPEMフォーマットを使用することができます。DERフォーマットは現在サポートしていません。また、PEM(RSAとDSA)、PUTTY、SSHCOM/Tectiaフォーマットの秘密鍵を使用できます。パスワードで保護された秘密鍵もサポートします。

非暗号化ログイメージ暗号化ログイメージ

ログストアの暗号化

ログスペース(ログストア)を暗号化するには、以下の手順を実行します。あらかじめ、暗号化するための公開鍵のセットが必要になります。

手順

  1. [Log]>[Logspaces]で、暗号化するログスペースに移動します。
  2. [Encryption certificate]フィールドのをクリックします。
  3. [Encryption certificate]ポップアップウィンドウが表示されるので、次のいずれかの方法で暗号化に使用する証明書を設定します。
    • [Upload certificate]フィールドの[参照]をクリックし、証明書ファイルを選択し[Upload]をクリックします。
    • 証明書の設定(ファイルアップロード)
    • [Copy-paste certificate]フィールドに証明書の内容をコピーし、[Set]をクリックします。
    • 証明書の設定(カット&ペースト)
  4. 正常に証明書が設定できれば、識別名(DN)が表示されますので確認します。
  5. 証明書識別名(DN)の表示
  6. [Commit]をクリックします。SSBは受信したログを暗号化して保存します。※1
※1 既にログが保存されているログスペース(ログストア)の場合、暗号化の適用は翌日から行われます。ログスペース(ログストア)ファイルは1日毎に作成されるので、途中から暗号化(保存形式を変更)できないためです。

暗号化されたログの閲覧

暗号化されたログスペースを[Search]ページで閲覧・検索することはできません。暗号化されたログスペースを指定すると、以下のように「Logspace indexer error: Encrypted log store cannot be decrypted」エラーが表示されログメッセージは閲覧できません。
ログの表示エラー
暗号化されて保存されたログスペース(ログストア)を閲覧するには、以下の手順を実行します。あらかじめ、復号するための公開鍵のセットが必要になります。

手順

  1. [User menu]>[Private keystore]をクリックします。
  2. [User menu]メニュー
  3. [Private key store]ポップアップウィンドウが表示されるので、[Private key store]タブの[Permanent]※2の[+]ボタンをクリックします。
  4. キーストアの追加
  5. [Certificate]下のボタンをクリックします。
  6. [Changing certificate]ポップアップウィンドウが表示されるので、ログストアの暗号化するのに使用された証明書を[参照]で選択し[Upload]するか、証明書の内容をコピーして[Set]ボタンをクリックします。
  7. [Key]下のボタンをクリックします。
  8. [Changing Key]ポップアップウィンドウが表示されるので、ログストアの暗号化するのに使用された証明書に対応する、秘密鍵を[参照]で選択し[Upload]するか、秘密鍵の内容をコピーして[Set]ボタンをクリックします。
  9. 正常に証明書と秘密鍵が設定できれば、識別名(DN)およびフィンガープリントが表示されますので確認します。
  10. キーストアの確認
  11. [Apply]をクリックします。
  12. [Search]ページで暗号化されたログファイルを閲覧・検索できます。
  13. 暗号化されたログの表示
※2 [Temporary]の[+]ボタンをクリックして公開鍵のセットを設定すると、セッション中にのみ公開鍵のセットが有効になります。ログオフ後は公開鍵のセットが削除され、公開鍵のセットを再度、有効にしないと表示できません。ログスペースに復号に使用する秘密鍵を設定することも可能です。詳細については「SSB 5 LTS 管理者ガイド」を参照ください。

暗号化アルゴリズムの変更

ログスペース(ログストア)を暗号化するのに使用するアルゴリズムを変更するには、以下の手順を実行します。

手順

  1. [Log]>[Options]>[Options]に移動します。
  2. [Cipher]でログストアを暗号化する為の方法を、[Digest]でダイジェストの方法をプルダウンで適宜、選択します。
  3. [Log]>[Options]メニュー
  4. [Commit]をクリックします。


SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。


syslog-ng Store Box (SSB)製品ページ:https://www.jtc-i.co.jp/product/ssb/ssb.html
syslog-ng Store Box (SSB) 製品ラインナップ:https://www.jtc-i.co.jp/product/ssb/ssb_lineup.html
syslog-ng Store Box (SSB)ドキュメントセンター:https://www.jtc-i.co.jp/support/documents/ssbdoc.html
評価版のダウンロードはこちら