暗号化された管理者アクセスの監査
7. Tectia Guardian
以下では、暗号化された管理者アクセスの問題を解決する製品として、フィンランドTectia(旧SSH Communications Security)が開発した監査証跡取得ソフト「Tectia Guardian」を紹介します。
- 暗号化通信を含めた監査証跡の取得
- 管理者アクセスに用いるプロトコルを1つに絞ることは理想ですが、容易ではありません。このため、監査証跡を取得するためには、世界標準として使われている各種の通信プロトコルを監査できるようにする必要があります。Tectia Guardianの場合は、SSH、RDP、VNC(Virtual Network Computing)などのアクセスを、監査証跡として保存できます。
- 監査証跡の完全性(改ざんの防止)
- ログ・ファイルの暗号化だけでは、改ざんの防止としては不十分です。改ざん防止のために最も有効な手段は、監査証跡に対するタイプ・スタンプの押印とデジタル署名です。Tectia Guardianでは、これらの機能を搭載しているため、ログ・ファイルの完全性を維持できます。
- 不正アクセスに対するセキュリティ
- プロトコルの特性を理解して、プロトコル特有の機能を制御する必要があります。このために、IDSやDSPなどの外部システムと連携できるようにしています。IDSやDLPは、Tectia Guairdianから受け取るトラフィックについて、アプリケーション・レベル(OSIモデルの7層)で監視することができます。
- 既存システムとの連携およびTCOの削減
- 暗号化通信の最大の問題は、既存通信をトンネル化することによる、通信のブラック・ボックス化です。Tectia Guardianでは、トンネル化されたトラフィックをデコードする機能を備えます。これにより、既存のIDSやIPS、パケット・アナライザと連携して、不正アクセスに対処できます。新たな機器やシステムを構築することなく、従来の手法で、侵入の検知が可能です。
また、Tectia Guardianは、ブリッジ装置のように、ネットワークに対してアクセス透過型(トランスペアレント)で動作します。管理者は、メンテナンスなどのリモート操作の際に、従来と比べて操作方法を変えることなく、通常通りにサーバーにアクセスできます。
保護対象のサーバーには、専用のエージェントをインストールする必要がありません。このため、運用負荷やライセンスが増大することもなく、TCOへの影響を最小限にできます。
図3: Tectia Guardianと外部セキュリティ・システムの連携 |
監査証跡を閲覧する際には、Webブラウザ・ベースのGUIで操作できます。記録されたセッションなど、監査証跡を再生する際には、早送りやイベント検索(例: マウス・クリックやキー入力)が可能です。
これにより、大量の監査証跡から、迅速に必要なデータを検索し、閲覧できます。ファイル・サーバーなどにアーカイブ保存した過去のデータも、そのまま閲覧できます。このため、監査対象システムの運用を止めることなく、監査を実施することができます。
8. 高度な認証機能
Tectia Guardianでは、認証機能として「4-eyes認証」が可能です。4-eyes認証とは、第三者が認証しない限り操作が行えない、というものです(目が2個 × 2人で、4つの目)。この「4-eyes認証」は、管理アクセスに対してだけでなく、監査証跡の閲覧にも適用できます。これにより、一層厳格な監査証跡の運用が可能となり、要求される説明責任を果たせます。
法令や規制、セキュリティ基準は、企業にシステムの管理アクセスの認証、制御、そして強力な監査と説明責任を、コンプライアンスとして要求しています。こうした中、Tectia Guardianは、従来の手法やシステムでは満たすことができない、暗号化された管理アクセスを監査できます。さらに、既存のIDSやDLPなど既存のセキュリティ・システムとの統合も可能です。