LINEのセキュリティ室が監視するのは、サーバ、ネットワーク機器、および世界中の各拠点で社員が使用 するPCなど数万台のデバイス。それらのデバイスから発生するログの管理は、各機器の担当者に任され ており、機器内に一定期間蓄積されていた。インシデント発生時にはセキュリティ室から管理者にログのダウンロードを依頼してから受け取る場合もあった。そういったケースで はタイムラグが発生し、しかも保存期間が短いために必要なデータが得られないこともあった。
全世界で2億1,700万人超のMAUを誇るコミュニケーション アプリ「LINE」をベースとして、ニュースや音楽、ライブ動画の 配信や、ショッピング、決済などのサービスを展開。2017年 にはクラウドAIプラットフォーム「Clova」を発表し、音声コ ミュニケーション分野にも進出。
2014年からは、ログ管理プラットフォーム「Monolith(モノリス)」の整備をスタートし、
ログの分析と可視化にElastic Stackを採用した。
当初は国内のファイアウォール機器とVPNの通信ログが対象だったが、すぐに海外拠点のファイアウォール機器とVPNの通信ログも一元管理するようになった。PCのセキュリティに関連するログについても徐々に追加し、現在では全社員のPCの利用状況、アンチウィルスの検知ログ、システムログインの認証ログな どを収集している。3ノードからスタートしたElasticsearchのノード数は瞬く間に10まで増えた。
ダッシュボードでログを可視化することで、調査にかける時間を短縮できるようになった。 これまでインシデントの発生時には、複数のログから挙動が疑わしいIPアドレスログをフィルタリングし、これに紐づくPCをひとつずつテキストベースで確認する作業に時間をとられてきたが、Elastic Stackの導入後は、関連するログを検索することで抽出し、全体像を把握できるようになった。
2016年には、X-Packの機能であるSecurityとAlertingを利用するために、サブスクリプションへと移行した。Elastic Stackの利用者にロール ベースのアクセス制御を適用できるようになり、さらにマルウェアを検知したときなどにAlertingを利用してインフラセキュリ ティチームのLINEグループにメッセージを送ることで、迅速にインシデント対応ができるようになった。バージョン5.0へのアップグレード時には、ログの保 存期間と保存対象を増やすために、Elasticsearchを20ノードに増強。 今では、サーバ認証系ログ、アンチウィルスやIDS/IPSなどセキュリティソリューションの検知ログ、一部のウェブサービスのアクセスログ、ネットワーク機器やPCの利用状況を一元管理できるようになった。
ダッシュボードによる可視化でログ監視は効率化されたが、人の目による異常の発見には限界があると感じた。そこで課題となったのが自動検知だ。異常検知と一言でいっても、曜日・時間帯、システムの種類など、状況によって「正常」の定義は変化するので、単純に閾値を決めて警告すればいいというものではないため、試行錯誤を重ねていた。そんな最中に、 ElasticからリリースされたのがMachine Learningのβ版だ。他社の機械学習ソリューション と比較後、2017年5月の正式リリースと同時に導入を決めた。決め手となったのはElastic Stackとシームレスに連携が行えることだった。
分散していたログを一元管理することで、インシデント対応にかかる時間を劇的に減らし、セキュリティ監視を効率化した。インフラセキュリティチームでの導入はセキュリティ室の別チー ムでの導入にも繋がり、他のセキュリティ用途にもElasticの製品群が活用されている。
