システムのログは保存したか？で、その後どうする？システムのログ保存先とコスト最適化について

Transcript

1. システムのログは保存したか？ で、その後どうする？ システムのログ保存先と コスト最適化について OpsJAWS Meetup29 ロギング、ログ管理 株式会社asken 沼沢 一樹

   1

2. 自己紹介 resource "engineer" "kazuki_numazawa" { name = "沼沢 一樹" company

   = "株式会社asken" layer = "Infrastructure" role = "Tech Lead" description = <<EOT バックエンドからインフラエンジニアへ転身して早 10年。 askenでの全社共通基盤構築の夢を抱いて日々邁進中。 EOT my_favorite_aws_service = "Lambda, EventBridge" } 2

3. © asken.inc 3 株式会社askenのご紹介 • 会社名　 ：株式会社asken • 代表者　 ：中島　洋

   • 設立 　：2007年10月1日 • 社員数　：63人(2024年5月時点) • 株主 ：株式会社グリーンハウス(100%出資) • 事業内容：インターネットを通じた食と健康に関するサービス提供 ✔ 有料課金事業・・・AI食事管理アプリ『あすけん』の開発・運営 ✔ 広告事業・・・『あすけん』のアプリ内で健康食品などのプロモーションを実施 ✔ 法人事業・・・企業の従業員の食生活改善、市民の健康増進などを目的とした『あすけん』の団体向け利用 ✔ 医療事業・・・病院での栄養指導の一助として『あすけん』の食事記録と管理者向けシステムの提供

4. © asken.inc 4 askenのミッション

5. © asken.inc あすけんとは AI栄養士（未来さん）のアドバイスをもとに、食生活の改善を行う国内最大級の食事管理アプリ 管理栄養士からあなたの為の アドバイスが届く 食べたものを入力するだけで カロリー・栄養素を自動計算 5

6. © asken.inc 会員規模・食事記録数 iOS・Androidアプリ合計 月間 約104万UU ※2 1000万人 突破！ ※1　2007年～2024年5月までにあすけんに記録された食事記録の総件数

   ※2　月間　2023/5/1~2023/5/31（31日間） 収益 ダウンロード数 食事記録レコード数 72億件※1 アプリストア　ヘルスケアカテゴリー ダウンロード数・売上ランキング共に 3年連続年間 1位 ※日本国内AppStoreとGooglePlay合算の「ヘルスケア（健康）/フィットネス」 カテゴリにおける、2022年・2023年のダウンロード数および収益（data.ai調べ）」 6

7. © asken.inc 最近のトピックス 未来さんアクリルスタンドガチャガチャ発売！ あすけん初TVCM放映 7 1000万人記念イベント実施＠二子玉川

8. © asken.inc 最近のトピックス 8 あすけん公式本、第２弾 新刊公式レシピ本　2023年12月発売 あすけん公式本　第１弾 道江栄養士の書籍　2023年4月発売 あすけん公式本、第３弾 50代からの食べ痩せ術　2024年2月発売

9. ← 健康診断の数値大幅改善！！！ → 過去半年で 5kg 弱ダウン！ 最近の成果 昨年 今年 9

10. ログ保存してますか？ 10

11. そのログ、 永続化していますか？ 11

12. そのログ、 どこに保存するか、 どのくらい保存するか、 明確に決めて 運用していますか？ 12

13. そもそも 13

14. ログってなんで 保存しないと いけないんだっけ？ 14

15. • 調査やモニタリング ◦ 問い合わせや障害発生時の調査、特定文字列検知でアラート、等 • 分析 ◦ アクセスログならアクセス傾向の分析等 • 法令遵守

    ◦ ほうれい…そんしゅ…？うっ頭が… (個人の見解です、一般論かどうかは知りません ) ログを保存する目的 15

16. 本題 16

17. まずはログの保存先について どういったものがあるのか 17

18. • S3 ◦ 言わずと知れた AWS のオブジェクトストレージ ◦ もはやシンプルさはどこへ行ったのか • CloudWatch

    Logs ◦ AWS のログ管理サービス ◦ AWS でログと言えばこれ(主観) • その他、Firehose を経由して様々な連携先へ… ◦ Redshift, OpenSearch Service, 3rd Party Services, … ログの保存先の選択肢 18

19. 目的に合わせた最適な保存先と保存期間 目的 場所 期間 調査(モニタリング) ログ分析(短期間分) CloudWatch Logs 3ヶ月 (長くても1年)

    法令遵守 ログ分析(長期間分) S3 5年 (長くても10年) 19

20. 目的: 調査 場所: CloudWatch Logs 期間: 3ヶ月(〜1年) 20

21. ログの確認を必要とするような調査を行うケース • 問い合わせ • 障害 このような、比較的急ぎの用件であることが多い 調査目的 → 場所: CloudWatch

    Logs 21

22. ログの調査では、以下の状態が望ましいと考える • 早く確認できること • できるだけ手間なく簡単に確認できること 調査目的 → 場所: CloudWatch Logs

    22

23. ログの調査では、以下の状態が望ましいと考える • 早く確認できること • できるだけ手間なく簡単に確認できること → 調査目的のログ保存先は CloudWatch Logs が適している、と言える

    調査目的 → 場所: CloudWatch Logs 23

24. 問い合わせや障害等の調査では • 最近のログを見るケースがほとんど • 古いログを調べることもあるが、それはレアケース 調査目的 → 期間: 3ヶ月(〜1年) 24

25. 問い合わせや障害等の調査では • 最近のログを見るケースがほとんど • 古いログを調べることもあるが、それはレアケース → CloudWatch Logs 上で古いログを見ることはほとんど無い 調査目的

    → 期間: 3ヶ月(〜1年) 25

26. 問い合わせや障害等の調査では • 最近のログを見るケースがほとんど • 古いログを調べることもあるが、それはレアケース → CloudWatch Logs 上で古いログを見ることはほとんど無い →

    保存だけで言えば S3 の方が安い ので CloudWatch Logs に長期間保 存するメリットが薄い 調査目的 → 期間: 3ヶ月(〜1年) 26

27. 調査目的 → 期間: 3ヶ月(〜1年) CloudWatch Logs S3 27

28. じゃあ最初から S3 に置いて Athena 等で参照できるように しておいた方がコスパ良くね？ 28

29. ログの調査では、以下の状態が望ましいと考える • 早く確認できること • できるだけ手間なく簡単に確認できること 調査目的 → 期間: 3ヶ月(〜1年) 再掲

    29

30. ログの調査では、以下の状態が望ましいと考える • 早く確認できること • できるだけ手間なく簡単に確認できること → これを実現するために CloudWatch Logs は必要なコスト

    調査目的 → 期間: 3ヶ月(〜1年) 30

31. ログの調査では、以下の状態が望ましいと考える • 早く確認できること • できるだけ手間なく簡単に確認できること → これを実現するために CloudWatch Logs は必要なコスト

    　　　　　　　コスト削減に目が眩んではいけない 調査目的 → 期間: 3ヶ月(〜1年) 31

32. ログの調査では、以下の状態が望ましいと考える • 早く確認できること • できるだけ手間なく簡単に確認できること → これを実現するために CloudWatch Logs は必要なコスト

    　　　　　　　コスト削減に目が眩んではいけない → CloudWatch Logs のログは S3 にも保存して消失を防ぐ 調査目的 → 期間: 3ヶ月(〜1年) 32

33. なぜ保存期間が3ヶ月？ 33

34. 以下の文献と自身のこれまでの経験から3ヶ月とした • 高度サイバー攻撃への対処におけるログの活用と分析方法 1.2 版 (JPCERT) (2022年5月10日) ◦ コラム「ログ保存期間に関する考え方」 より

    > ログの長期保存にかかる費用を抑えるために、直近 3 ヶ月のログをオンライン保存し、 3 ヶ月を経過したらオフライン保存に変 える方法がある。 • 企業における情報システムのログ管理に関する実態 調査報告書(IPA) (2016年6月9日) ◦ 「表 4-2： ログ保存期間の目安」より > PCI DSS 監査証跡の履歴を少なくとも 1 年間保持する。少なくとも 3 か月はすぐに分析できる状態にしておく。 調査目的 → 期間: 3ヶ月(〜1年) 34

35. 調査目的のログ保存についておさらい • 場所: CloudWatch Logs • 期間: 3ヶ月(〜1年) ◦ CloudWatch

    Logs の保持期間を3ヶ月に設定してコストを抑えよう ▪ デフォルトの保持期間は無期限 になっているので忘れず設定 ◦ S3 への退避もお忘れなく • CloudWatch Logs は必要なコスト 35

36. 目的: 法令遵守 場所: S3 期間: 5年(〜10年) 36

37. 保存場所が S3 であることは特に疑問や異論は無いでしょう。 では保存期間が5年というのはどうでしょうか？ 法令遵守目的 → 場所: S3 37

38. 再び登場、文献たち • 高度サイバー攻撃への対処におけるログの活用と分析方法 1.2 版 (JPCERT) (2022年5月10日) ◦ コラム「ログ保存期間に関する考え方」 より

    > Mandiant 社の「APT1」のレポートによれば、標的型攻撃は平均で 1 年程度、最長では 4 年 10ヶ月継続 している。 → 組織立った攻撃では期間が長期に渡ることもある → 上記のレポートでは5年弱ほど継続した攻撃活動があった 法令遵守目的 → 期間: 5年(〜10年) 38

39. 再び登場、文献たち • 企業における情報システムのログ管理に関する実 態 調査報告書(IPA) (2016年6月9日) ◦ 「表 4-2： ログ保存期間の目安」より

    > 内部統制関連文書、有価証券報告書とその付属文書の保存期 間に合わせて。 > 電子計算機損壊等業務妨害罪の時効。 法令遵守目的 → 期間: 5年(〜10年) 39

40. 法令遵守目的 → 期間: 5年(〜10年) 「内部統制関連文書、有価証券報告書とその付属文書の保存期間」とは • 「金融商品取引法 第25条」で定められている期間のこと • ここで、保存期間は「5年」と定められている

    40

41. 「電子計算機損壊等業務妨害罪」とは • 「刑法 第234条の2」で定められているもの ◦ 人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する 電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿 うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は 百万円以下の罰金に処する。 •

    これの時効が5年 法令遵守目的 → 期間: 5年(〜10年) 41

42. ちょ待てよ 42

43. 43

44. なんか似てるやつおるな 44

45. 45

46. しかも期間違うし 46

47. • 企業における情報システムのログ管理に関する実態 調査報告書(IPA) (2016年6月9日) ◦ 「表 4-2： ログ保存期間の目安」より > 5年:

    電子計算機損壊等業務妨害罪 の時効。 > 7年: 電子計算機使用詐欺罪 の時効。 法令遵守目的 → 期間: 5年？7年？ 47

48. ど、どっちにすれば 良いんだぁぁぁ ど、どっちにすれば 良いんだぁぁぁ！！？ 48

49. • 電子計算機使用詐欺罪 ◦ 金銭を伴う損害の場合はこっち > 不正に入手したクレジットカード等、他人のもので何かを購入する行為 (※1) • 電子計算機損壊等業務妨害罪 ◦

    (直接的に)金銭を伴わず、業務を妨害する内容はこっち > オンラインゲームに対するチート行為 (※2) > 嫌がらせ目的で故意に業務用データを削除 (※2) ※※※※※※※※私は法律の専門家ではないのでこの解釈は異なる可能性があります。※※※※※※※※ 電子計算機損壊等業務妨害罪と 電子計算機使用詐欺罪の違い 2つの違いについては 弁護士法人 渋谷青山刑事法律事務所 「インターネット犯罪【不正アクセス禁止法以外】（少年事件） 」 を参考にしました。 (※1)ウェルネス法律事務所 「電子計算機使用詐欺とは？判例をふまえてポイントをわかりやすく解説」 を参考にしました。 (※2)SOMPO CYBER SECURITY 「電子計算機損壊等業務妨害罪とは【用語集詳細】」 を参考にしました。 49

50. • 保存期間を5年、7年どちらにするかは運営サービスの特性により異なりそう • 決済機能を有しているなら7年、そうじゃないなら5年、で良いのでは(案) • ※※私は法律の専門家ではないのでこの解釈は異なる可能性があります※※ • 決める際は自社の顧問弁護士などに相談を！ 法令遵守目的 →

    期間: 5年 or 7年(〜10年) 50

51. どっちにしても10年 保存しとくのが最強 51

52. ど、どっちにすれば 良いんだぁぁぁ よし、法令遵守目的の 保存期間も決まったぞ 52

53. ど、どっちにすれば 良いんだぁぁぁ めでたしめでたし 53

54. ではない 54

55. • 最長で10年保存することになる 法令遵守目的 → 数年単位の長期保存 55

56. • 最長で10年保存することになる • 保存している間は S3 のコストがかかる 法令遵守目的 → 数年単位の長期保存 56

57. • 最長で10年保存することになる • 保存している間は S3 のコストがかかる • サービス規模によってはログの量は膨大になる(TB〜PB) 法令遵守目的 →

    数年単位の長期保存 57

58. ど、どっちにすれば 良いんだぁぁぁ 普段全然使い道のないログ 58

59. ど、どっちにすれば 良いんだぁぁぁ 少しでもコストを抑えたい 59

60. ど、どっちにすれば 良いんだぁぁぁ そんなうまい話が 60

61. あるんです 61

62. Amazon S3 ストレージクラス より 62

63. ど、どっちにすれば 良いんだぁぁぁ うん、よくわからない 63

64. ど、どっちにすれば 良いんだぁぁぁ そこでなんと今日は皆さんに 64

65. classmethod 様のブログを紹介 65

66. ど、どっちにすれば 良いんだぁぁぁ S3 ストレージクラスの選択に 迷った時みるチャートを作ってみた （2023年度版） 66

67. 法令遵守目的 → 長期保存でのコスト最適化 https://dev.classmethod.jp/articles/should_i_choice_s3_storage_class_2023/#toc-9 から引用 67

68. 法令遵守目的 → 長期保存でのコスト最適化 • ストレージクラスを一定のタイミングで移行 ◦ ライフサイクルルールを設定して自動で移行しよう • 移行先については先ほどのチャートを参考に •

    タイミングは3ヶ月(長くても1年) ◦ これは CloudWatch Logs の保存期間と同じ理由 ◦ すぐにアクセスできる必要のある期間として 3ヶ月(長くても1年)あれば十分 68

69. 法令遵守目的 → 長期保存でのコスト最適化 • ただし、Glacier への移行は要注意 ◦ 1つあたりのファイルサイズが小さいと逆にコスト増の可能性あり > ライフサイクルルールで最小オブジェクトサイズを設けるなどで対応

    ◦ classmethod 様の参考記事「Amazon S3で標準クラスから別ストレージクラスへのライフサイク ル移行の損益分岐点を見る 」 69

70. • Glacier 料金複雑！クラウド破産コワイ！な人は ◦ せめて「S3 標準 - 低頻度アクセス（Standard-IA）」にすると良いでしょう ◦ これだけでも保存料金は約

    4割の削減になる > ただし、Standard-IA も取り出しコストはかかるので、頻繁な取り出しは控えましょう！ 法令遵守目的 → 長期保存でのコスト最適化 70

71. ど、どっちにすれば 良いんだぁぁぁ EOF 71