暗号化された管理者アクセスの監査

2010年11月11日(木)
セキュリティプロダクトチーム

1. 法律・規制・基準に対するセキュリティ・コンプライアンス

第1回では、「特権IDとパスワードの効果的な運用」について説明しました。今回は、「暗号化された管理者アクセスの監査」と題し、「(セキュリティの保護のために)暗号化されている通信内容に対しては、どのようにして監査証跡を取得すればよいのか」を解説します。

個人情報保護法、PCI DSS(クレジット・カード・データ・セキュリティ標準)、BIS規制(Basel II Accord)など、情報セキュリティの保護を目的とする法律や基準が浸透してきています。これらの法律や基準は、個人データやカード情報などの重要な情報を含む通信については、暗号化することを義務づけています。このため、暗号化通信の利用は、当然のこととなりつつあります。

また、内部統制(主にJ-SOX)や会計監査などにおいては、プロセスおよびデータの完全性を示す証跡を提示することが求められています。以降では、これらのセキュリティ対策や監査証跡への有効な手段について解説します。

2. 管理者アクセスのログ

通常、機密情報などの重要なデータは、基幹システムのデータベース・サーバーに保管されています。これらのサーバーにアクセスできるのは、セキュリティ・ポリシー上、専用の業務アプリケーションに限っています。これらの専用業務アプリケーションの利用によって生じたアクセス・ログとレポートは、誤操作や不正操作などによって問題が発生した場合に、有力な証拠となります。さらに、資産の有効活用や、投資計画の作成にも利用できます。

しかし、これらのアプリケーションには、問題があります。システム管理者が特権IDを使って操作した作業内容については、アクセス・ログを取得することができないのです。こうした操作には、例えば、メンテナンス作業、重要なデータへのアクセス、データベース自体への操作などがあります。

また、管理者によるアクセスは、ログインID/パスワードや送受信データ、操作内容などが第三者に分からないようにするため、暗号化の利用が前提になります。この場合、通信経路上での監査証跡の取得は困難となるため、サーバー側でログを収集する手法が主流です。しかし、サーバー側でのログ収集は、有効な監査証跡とはなりません。

特権IDの場合、サーバー側でのログ収集は監査上、意味を持ちません。なぜなら、特権IDを使えば、不正操作を記録したログを抹消できるからです。ログ収集ツールそのものを操作して、操作ログを抹消することも可能です。

監査証跡の絶対条件は、情報の改ざんがされていないことを前提とする、データの完全性です。従来の手法で取得した監査証跡は、完全性に問題があるため、企業の説明責任を十分に果たせません。また、取得ログの分析などによる監査手法も、複雑化したシステム環境においては迅速に対応できません。

3. 世界標準プロトコルによる暗号化

特権IDは、重要な管理者権限を持つため、厳重に管理する必要があります。また、特権IDでは特に、アクセス時におけるID/パスワードの盗聴を防止することが重要です。

こうした背景から、多くのセキュリティ基準では、要件として、SSH(Secure Shell)などを用いて特権IDを利用した管理者アクセスを暗号化することを挙げています。

暗号化によって既存通信をトンネル化することで、アクセス内容はブラック・ボックス状態となり、仮に通信データだけを盗聴したとしても、内容を把握することはできません。

4. 既存セキュリティの陳腐化

従来、不正アクセスに対する防御策として、IDS(侵入検知システム)やDLP(情報漏えい防止)といった製品サービスが活用されていました。しかし、通信が暗号化されると、これまで頼りにしていた既存のセキュリティ機能(IDSやDLPなど)が無効化されてしまいます。

情報システムに携わる我々は、暗号化によって発生した新たな問題を、早急に解決する必要があります。では、そのためには、どのような要件を満たせばよいのでしょうか。

著者
セキュリティプロダクトチーム
株式会社ディアイティ

ディアイティでは、ネットワークおよびセキュリティにおける幅広いソリューションを提供しています。IT環境の変化に対応するため、技術チームはそれぞれが担当する分野の研究、検証を行っており、先進的な製品開発と柔軟なサービスの提供に努めています。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています