Upgrade to Pro — share decks privately, control downloads, hide ads and more …

システムのログは保存したか?で、その後どうする?システムのログ保存先とコスト最適化について

Kazuki Numazawa
May 29, 2024
370

 システムのログは保存したか?で、その後どうする?システムのログ保存先とコスト最適化について

高度サイバー攻撃への対処におけるログの活用と分析方法 1.2 版 (JPCERT)
https://www.jpcert.or.jp/research/APT-loganalysis_Report_20220510.pdf

企業における情報システムのログ管理に関する実態 調査報告書(IPA)
https://warp.da.ndl.go.jp/info:ndljp/pid/11440710/www.ipa.go.jp/files/000052999.pdf

金融商品取引法
https://elaws.e-gov.go.jp/document?lawid=323AC0000000025

刑法
https://elaws.e-gov.go.jp/document?lawid=140AC0000000045_20230713_505AC0000000066

弁護士法人 渋谷青山刑事法律事務所
インターネット犯罪【不正アクセス禁止法以外】(少年事件)
https://www.sa-criminal-defense.jp/nettohanzai

ウェルネス法律事務所
電子計算機使用詐欺とは?判例をふまえてポイントをわかりやすく解説
https://wellness-keijibengo.com/sagi/computer-sagi/

SOMPO CYBER SECURITY
電子計算機損壊等業務妨害罪とは【用語集詳細】
https://www.sompocybersecurity.com/column/glossary/denshikeisanki-sonkai

classmethod
S3 ストレージクラスの選択に迷った時みるチャートを作ってみた(2023年度版)
https://dev.classmethod.jp/articles/should_i_choice_s3_storage_class_2023/

classmethod
Amazon S3で標準クラスから別ストレージクラスへのライフサイクル移行の損益分岐点を見る
https://dev.classmethod.jp/articles/amazon-s3-break-even-liefcycle/

Kazuki Numazawa

May 29, 2024
Tweet

Transcript

  1. 自己紹介 resource "engineer" "kazuki_numazawa" { name = "沼沢 一樹" company

    = "株式会社asken" layer = "Infrastructure" role = "Tech Lead" description = <<EOT バックエンドからインフラエンジニアへ転身して早 10年。 askenでの全社共通基盤構築の夢を抱いて日々邁進中。 EOT my_favorite_aws_service = "Lambda, EventBridge" } 2
  2. © asken.inc 3 株式会社askenのご紹介 • 会社名  :株式会社asken • 代表者  :中島 洋

    • 設立  :2007年10月1日 • 社員数 :63人(2024年5月時点) • 株主 :株式会社グリーンハウス(100%出資) • 事業内容:インターネットを通じた食と健康に関するサービス提供 ✔ 有料課金事業・・・AI食事管理アプリ『あすけん』の開発・運営 ✔ 広告事業・・・『あすけん』のアプリ内で健康食品などのプロモーションを実施 ✔ 法人事業・・・企業の従業員の食生活改善、市民の健康増進などを目的とした『あすけん』の団体向け利用 ✔ 医療事業・・・病院での栄養指導の一助として『あすけん』の食事記録と管理者向けシステムの提供
  3. © asken.inc 会員規模・食事記録数 iOS・Androidアプリ合計 月間 約104万UU ※2 1000万人 突破! ※1 2007年~2024年5月までにあすけんに記録された食事記録の総件数

    ※2 月間 2023/5/1~2023/5/31(31日間) 収益 ダウンロード数 食事記録レコード数 72億件※1 アプリストア ヘルスケアカテゴリー ダウンロード数・売上ランキング共に 3年連続年間 1位 ※日本国内AppStoreとGooglePlay合算の「ヘルスケア(健康)/フィットネス」 カテゴリにおける、2022年・2023年のダウンロード数および収益(data.ai調べ)」 6
  4. • 調査やモニタリング ◦ 問い合わせや障害発生時の調査、特定文字列検知でアラート、等 • 分析 ◦ アクセスログならアクセス傾向の分析等 • 法令遵守

    ◦ ほうれい…そんしゅ…?うっ頭が… (個人の見解です、一般論かどうかは知りません ) ログを保存する目的 15
  5. • S3 ◦ 言わずと知れた AWS のオブジェクトストレージ ◦ もはやシンプルさはどこへ行ったのか • CloudWatch

    Logs ◦ AWS のログ管理サービス ◦ AWS でログと言えばこれ(主観) • その他、Firehose を経由して様々な連携先へ… ◦ Redshift, OpenSearch Service, 3rd Party Services, … ログの保存先の選択肢 18
  6. ログの調査では、以下の状態が望ましいと考える • 早く確認できること • できるだけ手間なく簡単に確認できること → これを実現するために CloudWatch Logs は必要なコスト

           コスト削減に目が眩んではいけない → CloudWatch Logs のログは S3 にも保存して消失を防ぐ 調査目的 → 期間: 3ヶ月(〜1年) 32
  7. 以下の文献と自身のこれまでの経験から3ヶ月とした • 高度サイバー攻撃への対処におけるログの活用と分析方法 1.2 版 (JPCERT) (2022年5月10日) ◦ コラム「ログ保存期間に関する考え方」 より

    > ログの長期保存にかかる費用を抑えるために、直近 3 ヶ月のログをオンライン保存し、 3 ヶ月を経過したらオフライン保存に変 える方法がある。 • 企業における情報システムのログ管理に関する実態 調査報告書(IPA) (2016年6月9日) ◦ 「表 4-2: ログ保存期間の目安」より > PCI DSS 監査証跡の履歴を少なくとも 1 年間保持する。少なくとも 3 か月はすぐに分析できる状態にしておく。 調査目的 → 期間: 3ヶ月(〜1年) 34
  8. 調査目的のログ保存についておさらい • 場所: CloudWatch Logs • 期間: 3ヶ月(〜1年) ◦ CloudWatch

    Logs の保持期間を3ヶ月に設定してコストを抑えよう ▪ デフォルトの保持期間は無期限 になっているので忘れず設定 ◦ S3 への退避もお忘れなく • CloudWatch Logs は必要なコスト 35
  9. 再び登場、文献たち • 高度サイバー攻撃への対処におけるログの活用と分析方法 1.2 版 (JPCERT) (2022年5月10日) ◦ コラム「ログ保存期間に関する考え方」 より

    > Mandiant 社の「APT1」のレポートによれば、標的型攻撃は平均で 1 年程度、最長では 4 年 10ヶ月継続 している。 → 組織立った攻撃では期間が長期に渡ることもある → 上記のレポートでは5年弱ほど継続した攻撃活動があった 法令遵守目的 → 期間: 5年(〜10年) 38
  10. 再び登場、文献たち • 企業における情報システムのログ管理に関する実 態 調査報告書(IPA) (2016年6月9日) ◦ 「表 4-2: ログ保存期間の目安」より

    > 内部統制関連文書、有価証券報告書とその付属文書の保存期 間に合わせて。 > 電子計算機損壊等業務妨害罪の時効。 法令遵守目的 → 期間: 5年(〜10年) 39
  11. 43

  12. 45

  13. • 企業における情報システムのログ管理に関する実態 調査報告書(IPA) (2016年6月9日) ◦ 「表 4-2: ログ保存期間の目安」より > 5年:

    電子計算機損壊等業務妨害罪 の時効。 > 7年: 電子計算機使用詐欺罪 の時効。 法令遵守目的 → 期間: 5年?7年? 47
  14. • 電子計算機使用詐欺罪 ◦ 金銭を伴う損害の場合はこっち > 不正に入手したクレジットカード等、他人のもので何かを購入する行為 (※1) • 電子計算機損壊等業務妨害罪 ◦

    (直接的に)金銭を伴わず、業務を妨害する内容はこっち > オンラインゲームに対するチート行為 (※2) > 嫌がらせ目的で故意に業務用データを削除 (※2) ※※※※※※※※私は法律の専門家ではないのでこの解釈は異なる可能性があります。※※※※※※※※ 電子計算機損壊等業務妨害罪と 電子計算機使用詐欺罪の違い 2つの違いについては 弁護士法人 渋谷青山刑事法律事務所 「インターネット犯罪【不正アクセス禁止法以外】(少年事件) 」 を参考にしました。 (※1)ウェルネス法律事務所 「電子計算機使用詐欺とは?判例をふまえてポイントをわかりやすく解説」 を参考にしました。 (※2)SOMPO CYBER SECURITY 「電子計算機損壊等業務妨害罪とは【用語集詳細】」 を参考にしました。 49
  15. 法令遵守目的 → 長期保存でのコスト最適化 • ストレージクラスを一定のタイミングで移行 ◦ ライフサイクルルールを設定して自動で移行しよう • 移行先については先ほどのチャートを参考に •

    タイミングは3ヶ月(長くても1年) ◦ これは CloudWatch Logs の保存期間と同じ理由 ◦ すぐにアクセスできる必要のある期間として 3ヶ月(長くても1年)あれば十分 68
  16. • Glacier 料金複雑!クラウド破産コワイ!な人は ◦ せめて「S3 標準 - 低頻度アクセス(Standard-IA)」にすると良いでしょう ◦ これだけでも保存料金は約

    4割の削減になる > ただし、Standard-IA も取り出しコストはかかるので、頻繁な取り出しは控えましょう! 法令遵守目的 → 長期保存でのコスト最適化 70