－統合ログ管理とは何ですか？

統合ログ管理（ツール）とは、ファイアウォールやIDS／IPSなどのネットワーク・デバイス、サーバ、クライアントPC端末などの、あらゆるシステムからログを収集して、一元的に保管を行って各システムのログを横断的に検索、分析を行うことを可能にするものです。多様なシステムから収集したログデータは大容量となることから、多くの製品ではさまざまな方式によって格納するデータを圧縮することで、長期間保存できるようにしています。

※1：Webサーバ、アプリケーションサーバなど　　※2本調査では非対象分野

出典：ITR（2009）

図1：統合ログ管理ツールとは

－統合ログ管理の市場動向について教えてください。

統合ログ管理は2007年度より成長率が大きく伸びた市場です。2007年度の売上高は17億6,700万円で192.7％という高い成長率を示しています。2008年度は売上高が22億8,500万円で、対前年比129.3％の成長になるとみています。2007年の成長率は極端な増加を示していますが、参入ベンダーが増加したことや統合ログ管理の認知が広がったこともあり、市場が急激に拡大している状態にあることが背景としてあげられます。また、以降の市場は拡大傾向にあるものの、今日のIT投資全般の縮小傾向に伴って2008年は少し成長が鈍化していると思われます。

2006～2007年は、統合ログ管理のプレーヤーが増加し、製品が多くリリースされ、同時に既存製品の認知度も高まってきた年でした。それはJ-SOX法、セキュリティ関連のIT投資が堅調であったことが背景にあり、一挙に統合ログ管理の市場が成長してきました。業種別に見れば、他のIT製品と同様に金融・通信を中心に売り上げが伸びています。割合としては金融が4割弱、通信が2割弱を占め、それに製造が続いています。

出典：ITR（2009）

図2：統合ログ管理市場の規模・成長率

－ログ管理はどのような目的で利用されることが多いですか？

統合ログ管理を導入する目的として多いのはセキュリティ、コンプライアンスです。セキュリティ対策では、外部からの不正アクセスよりも、内部からの情報漏えい対策が重視される傾向があります。業務において機密情報にアクセスする権限を持ったユーザに対して制限をかけることができない代わりに、その操作ログをとることで不正な情報の流れをいち早く検知するというものです。また、コンプライアンス目的での利用では、従業員が正当な業務処理をしているかどうかの証跡としてそのログデータを用います。

ログ管理は元来、システムが正常に稼働しているかどうかをチェックするための、運用管理がその目的でした。しかし、ログ管理は少しずつ用途を広げ、主にセキュリティ目的で用いられるようになっていきました。さらに、ログ管理系のツールが普及していくに従って、勤怠管理や業務改善、業務効率化の目的で利用したいというニーズも増えていきました。これは統合ログ管理のカテゴリではありませんが、例えば、クライアントPCのログ管理を行うことで、社内のアプリケーションの利用状況の統計をとることができ、それによって不良資産を調べたり、逆に利用頻度の高いアプリケーションに対してIT投資のリソースを注入するということも可能になりますので、アプリケーション資産の整理を図り、業務改善へとつなげることができるようになります。

システム運用管理からはじまったログ管理システムですが、現在ではセキュリティやコンプライアンスをはじめ、業務改善、業務効率化に至るまで、その用途は広がり多様化しています。

－統合ログ管理の導入メリットはなんですか？

当初、ログ管理ツールは、システムごとに個別に導入するケースが多く、特にログ管理市場が大きく成長するきっかけを作ったのはデータベースのログ管理でした。その頃の日本では情報漏えいが非常に問題視されていたので、外部からの不正アクセス対策よりも情報保護に取り組もうという気運がありました。そこで、情報保護の一番の対象は個人情報であり、個人情報が保存されているところと言えばデータベースが多いということで、データベースのログ管理ツールが注目されて普及したという経緯があります。

しかし、もちろん機密情報は個人情報に限りません。データベース以外にも、知的財産の含まれるCADデータやPDFファイル、あるいはオフィス系などの非定形データであればファイルサーバに格納されることもあります。そのような、多様な機密情報に対応するためには、ポイントソリューションだけではなく、様々なプラットフォームのログをまとめる器として、統合ログ管理が必要となってきたわけです。ユーザ側からみれば、どうしても目の前の問題を解決することから投資したいというニーズが高いため、ポイントソリューションからはじめてログ管理ツールを並列的に用いるケースが多くあり、それらを最終的にまとめるための階層型システムとして、統合ログ基盤を構築するという動きが多くあります。

多様なシステムからログを取得して統合的に管理するのが統合ログ管理のメリットです。例えば、外部からハッキングが行われた際、ファイアウォール、データベース、Webアプリケーションなどから統合的にログを収集して解析することで、「不正なアクセスによって、特定のWebアプリを経由して、データベースから個人情報が抜き取られた…」、というところまで追跡することができます。これは、個別にログ管理を行っていたのではわからないことです。このように、システムをまたいで1つのトランザクションを追跡できる機能を、横断検索／分析、串刺し検索／分析などと呼んでいます。

－統合ログ管理ベンダのシェアと戦略について教えてください。

2007年度の国内の統合ログ管理市場におけるベンダ別シェア（出荷金額ベース）の調査結果は次のようになります。外資系ではSenSage、RSAセキュリティ、国内ベンダでは三菱電機インフォメーションテクノロジー、インフォサイエンスが上位に入っています。

※出荷金額はメーカ出荷のライセンス売り上げのみを対象とし、3月期ベースで換算。

ITR「ITR Market View・セキュリティ・ログ管理市場2008」

図3：2007年度の国内統合ログ管理市場シェア（出荷金額ベース）

今後は、RSAセキュリティがどれだけ伸びるか、SenSageがどれだけ販売額を維持していくかが1つの目安となるでしょう。また、これからリリースされる新しい製品にも注目したいところです。

SenSageは、大企業向けの統合ログ管理製品として、SenSageEnterpriseSecurityAnalyticsを提供しています。スケーラビリティ面に特化した製品で、大規模案件に向いた製品です。日本国内における販売では、東京エレクトロンデバイスとのパートナーシップによって販売を行っています。また、中堅中小企業向けには、logboxというアプライアンスの提供も始めました。logboxはSenSageEnterpriseSecurityAnalyticsを簡略化してアプライアンス製品としたものです。SenSageはこれから日本市場を重視し、大企業だけではなく中堅中小企業もターゲットとして販売を広げてゆくことを目標としています。

RSAセキュリティがNetwork Intelligence社を買収し、同社のログ管理製品を自社ラインナップに拡充したことで情報セキュリティ市場への戦略が強化され、元々訴求力があったチャネルを再構築したことによって、一挙にシェアを広げることに成功しました。RSAセキュリティの現製品であるRSA envisionは、中堅企業以上をターゲットとしている製品ですが、スケーラビリティではSenSageの方が優位にあることもあり、大企業のシェア拡大を目指しています。

三菱電機インフォメーションテクノロジーでは、基本的にはチャネルを広げるよりは、大手を中心に手堅く販売を行っています。中堅～大企業向けにはLogAuditor Enterpriseを、中堅中小企業向けにLogCatcherというアプライアンスの販売を開始しました。ソリューション系の製品であるため、コンサルティングを絡めた販売を行えるのが強みといえます。

インフォサイエンスは知名度も高まり、周辺ベンダと共に統合ソリューションを提供するなど、色々な協業を行うことで市場にアプローチしています。Logstorageはソフトウェアライセンスが安いため、金額ベースでのシェアはあまり高くありませんが、多数の導入実績を有しており、中堅～大企業を中心に幅広いターゲット層を持っています。スケーラビリティもあるため、大規模案件にも対応します。

中堅中小企業が導入しやすい製品としては、アプライアンスでは、SenSage（東京エレクトロンデバイス）のlogbox、三菱電機インフォメーションテクノロジーのLogCatcher、RSAセキュリティのRSA enVison、の3つが挙げられます。また、日本市場ではあまりシェアが大きくありませんが、LogLogic社というベンダが中堅中小企業向けのアプライアンスに力を入れています。ソフトウェアではインフォサイエンスのLogstrageが、比較的低価格で提供されています。ソフトウェア製品ですが、SIerを通してハードウェアの構成さえうまくまとめることができれば導入の問題もなく、またLogstrageは比較的スケーラブルな製品で大規模案件の実績もあります。

－製品選定のポイントはありますか？

競争の激しい分野ですから、機能面ではもはや大きな差はないでしょう。アピールポイントとなることの多いレポート機能や操作性なども、製品選定の決め手とはならなくなってきています。それよりも、その製品を導入するときにどのようなサービスが受けられるのかということに注目した方が良いと思われます。

ログ管理では要件定義が大変重要です。どのような目的で、どのシステムについて、どのデータを抽出するか、などという要件を明確に決めていかなければなりませんのでSIerのコンサルティングが必要になります。製品導入時のサポート体制がどうであるか、コンサルティングでどこまでの要件定義に協力してくれるか、などといった要素が大切になってきます。

その他、ログをとることのできる製品のサポート範囲にも注意する必要があります。これからログ管理を行おうとしているシステムの製品が、標準ではサポート外で、追加でアドオンを作らなければならないという事態も考えられますので事前の確認が必要です。また、ログを保存する容量と、格納データの圧縮率の問題もあります。システムが小規模であっても、期間が経過すればログデータはかなり膨らんできます。例えばJ-SOX法に従って、監査証跡として記録を残す場合、財務諸表に関連したデータでは、3年分のデータを保存しておくことが推奨されます。コンプライアンスの目的で導入されるときは、容量的にログをどれだけの期間保存しておけるかということについても考慮する必要があるでしょう。

－最後に、統合ログ管理の導入を考える中堅中小ユーザ企業へ、メッセージをお願いいたします。

先ほどお話ししましたように、ログ管理ではまず要件定義が重要です。ログ管理を行う具体的な目的が何であるかということと、現在自社にどのようなシステムがあって、将来的にどのようなシステムを利用する可能性があるのかをシステム環境を考え合わせることによって、どのようにログを抽出するかという仕様を決めていかなければなりません。

コンサルティングを受けるにしても、ユーザ自身が決めなくてはならないことが多くあります。コンサルティングを行う側は、アドバイスや事例紹介はできますが、最終的な決断はユーザ自身が行う必要があります。実際、その決断がなかなか行えずに、導入が遅れてしまうこともあります。そのようなロスは避けたいところです。いかにログ管理の要件定義を自社内でまとめていくかということ、そして、それを助けてくれそうなパートナーとして適切なSIerはどこかということを考えた上で、製品を選んでいくことが重要です。

まずは、ログ管理によって何をしたいのかという目的が決まらないことには、製品を選ぶことはできませんし、目的が決まらなければメリットも実感できません。要件定義が難しいという場合には、導入前にもっと情報を収集する努力も必要になってくるでしょう。