暗号化された管理者アクセスの監査

2010年11月11日(木)
セキュリティプロダクトチーム

5. 説明責任に耐えうる監査

現在の環境下、監査のために必要な要件として、以下の項目を挙げることができます。さらに、これらの要件に加えて、不正アクセスに対するセキュリティの問題や、新しいシステムを導入することによるTCO(総所有コスト)の増大をいかに低減するかという問題も重要です。

暗号化通信を含めた監査証跡の取得
暗号化通信においても、従来の通信と同様の、監査が可能な操作ログを取得することが重要です。
監査証跡の完全性(改ざんの防止)
管理者アクセスに対して監査証跡の完全性を実現します。このためには、サーバー管理者が干渉できないシステムで、サーバー管理者とは異なる監査人だけが閲覧可能な、セキュアなシステムを用意しなければなりません。
効率的な監査手法
監査では、多くのデータ分析を必要とします。さらに、分析作業には、多くの時間を要します。つまり、経済的な負担が生じます。このため、「誰が、いつ、何を行ったのか」を、素早く明確に分析する必要があります。
不正アクセス対策とTCOの削減
不正アクセス対策のために新たなシステムを導入する場合、新システム自体の導入費用だけでなく、既存システムにシステム連携機能を追加したり、既存システムを停止したりといったプロセスが必要になります。このため、既存の業務や経費に、大きな影響を与えます。これらのTCOを抑えるためには、既存の環境に変更を加えることなく利用できる、汎用性の高い製品サービスが望まれます。

6. 暗号化された管理者アクセスの問題を解決する製品サービス

暗号化された管理者アクセスを監査するためには、監査システムが独立していることが重要です。さらに、サーバーやネットワーク機器をリモート管理するオペレーション(操作)に対して、制御、監視、監査が可能なシステムが理想です。

暗号化通信を含めた監査証跡の取得
これらの要件を満たすためには、監査証跡システムが、保護対象のクライアントやサーバーから独立したスタンド・アロン機器として動作し、通信に対して透過的なゲートウエイ装置として動作することが必要です。ゲートウエイ装置を通過する管理者アクセスに対し、適切なポリシー設定に基づいたフィルタリング機能と、すべての操作を容易に分析可能な、監査証跡の保存機能が重要です。
監査証跡の完全性(改ざんの防止)
システムとして独立していたとしても、サーバー管理者が監査証跡を閲覧できる状態では、機密の漏えいや監査証跡の改ざんの要因はなくなりません。このため、データの完全性を強力に維持するシステムが必要です。さらに、このシステムの設定変更時には、詳細な操作ログを保存し、ログに対してサーバー管理者にアクセスさせない仕組みも必要です。
監査人が監査証跡をレビューする際にも、より厳格な運用ができることが望まれます。

図1: 独立したシステムによる監査証跡の保護
効率的な監査手法 - 操作画面を動画で再現
監査証跡の確認が必要になる典型的なケースは、インシデントが発生した際の調査です。こうした調査は、問題解決までの時間が問われるため、どのような操作が行われたかを素早く知る必要があります。
テキスト・ログを解析していたら、時間がかかってしまいます。実際の操作内容を動画で確認できれば、それが最も有効な方法です。
特に、Windows標準の画面情報端末プロトコルであるRDP(Remote Desktop Protocol)を介したリモート操作は、動画再生以外の方法ではすべてを確認することができません。一方、コマンド・ライン操作においても、動画再生で確認することで、迅速な解析が可能になります。
監査証跡の再生に専用機器を別途用意する必要がないことも重要です。

図2: 監査証跡として取得したデータの再生画面(クリックで拡大)

また、これら監査証跡の取得や分析だけでなく、不正アクセスに対する防御策の実装も要求として挙げられています。

著者
セキュリティプロダクトチーム
株式会社ディアイティ

ディアイティでは、ネットワークおよびセキュリティにおける幅広いソリューションを提供しています。IT環境の変化に対応するため、技術チームはそれぞれが担当する分野の研究、検証を行っており、先進的な製品開発と柔軟なサービスの提供に努めています。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています