インターネット境界ゲートウエイでの監査証跡
1. ネットワークの境界における監査証跡の重要性
前回までの2回では、特権ID管理の重要性と、暗号化通信における管理者アクセスの監査証跡について解説しました。今回は、組織のネットワーク(社内LANなど)とインターネットの境界線であるゲートウエイ部分での監査証跡について、ファイアウォールとIDS(侵入検知システム)を例に解説します。
ご存じの通り、組織のネットワークとインターネットの境界は、最も堅牢に防御しなければならないポイントの1つです。同時に、注意深く監視しなければならない部分でもあります。組織外部との間のすべての通信が、この境界を通過することになるからです。
インターネット境界を通過する通信を分類すると、以下の通りになります。
- 組織内部から外部への、許可された通信
- 組織外部から内部への、許可された通信
- 組織内部から外部への、許可されていない通信
- 組織外部から内部への、許可されていない通信
今回は、技術面の視点と、各種基準からの要求の視点の両面から、監査証跡の重要性を探っていきます。
2. 技術的な面から見た、監査証跡の重要性
現在のネットワーク環境においては、組織のネットワークとインターネットの境界線では、ほとんどの組織がファイアウォール(FW)を導入し、パケット・フィルタリングなどのアクセス制御を実施しています。アクセス制御機能を使えば、許可していない通信のほとんどを防御できます(アクセス制御装置のバグに起因する問題などは含みません)。
しかし、ここで問題になるのが「許可された通信」です。許可された通信は、果たして本当に許可された通信なのでしょうか。
近年では、不正アクセスの手法も多様化し、パケット・フィルタリングの手法だけでは、正常な通信かどうかを判断することが難しくなってきました。また、現在のインターネット・アプリケーション環境は、さまざまなWebサービスを自由に利用できるようになっています。このため、組織内部から外部に対して許可された通信を利用して、各種の情報のやり取りが可能になっています。
組織ネットワークとインターネットとの境界では、許可されていない通信を監視することは当然です。これに加えて、許可された通信も、注視する必要があるのです。
3. 各種基準から見た、ネットワークにおける監査証跡の重要性
各種の基準において、監査証跡がどのように求められているのでしょうか。
- ISO27001、A.10.10.2での要求
-
- システム使用状況の監視
- この要件の中では、考慮することが望ましい監視領域として、"認可されているアクセス"、"認可されていないアクセスの試み"が含まれています。
- PCI DSS v1.2の要件10での要求
-
- ネットワーク・リソースとカード会員データへのすべてのアクセスを追跡および監視する
- 侵害の原因の特定のためには、システム・コンポーネントに対するアクセスの監査証跡が有効であることが必要です。
- システム管理基準での要求
-
- ネットワークへのアクセス・コントロールとモニタリングが有効に機能すること
- ネットワーク監視ログを定期的に分析すること
- ネットワークへの侵入と不正利用を防ぐために、ネットワークの監査証跡とともに定期的な分析が必要です。
このように、各種基準においても、ネットワークの監査証跡が要求されています。企業は、これらの基準に準拠するため、監査証跡の取得手段を講じる必要に迫られています。
以上のように、技術面および各種基準の要求の両面において、組織ネットワークとインターネットの境界における監査証跡が非常に重要になっています。
次ページでは、ネットワーク境界に設置するファイアウォール「McAfee Firewall Enterprise Ver.8」(米McAfee製)と、不正侵入防御システム「Sourcefire 3D System」(米Sourcefire製)を例に、監査証跡を取得する方法を解説します。