ネットワーク上の通信を完全保存

1. ネットワーク・フォレンジック

連載「ログの取得と監査証跡の勘どころ」は、前回までの3回分（第1回、第2回、第3回）で、特権ID管理、暗号化通信の監査証跡、ゲートウエイにおけるログ取得と証跡、について解説してきました。

第4回の今回は、サーバーやゲートウエイ上にアクセス・ログとして保存されるログ・ファイルよりも高い証拠能力を確保できる仕掛けとして、ネットワーク・フォレンジックを紹介します。フォレンジックでは、ネットワーク上の全通信をデータとして丸ごと記録保存しておき、必要に応じて再生することができます。

個人情報保護法や内部統制といったコンプライアンス（法令順守）の需要が高まる中、組織は、セキュリティ・ポリシーの策定、アクセス・コントロールと、いろいろな対策を実施してきました。しかし、個人情報や機密情報の漏えいは、後を絶ちません。

「どの端末から、いつ、どこを通って、何を送ったのか」という詳細な情報を残す必要があります。このためには、サーバーやネットワーク機器におけるログ取得のような、パケットのヘッダー情報だけを記録するやり方ではなく、ネットワーク上に流れるパケット・データをそのまま記録するやり方が望まれます。これを実現するのが、ネットワーク・フォレンジックです。

従来、パケット・データの解析というと、ネットワーク管理者がプロトコル・アナライザを利用して実施してきた手法です。ネットワークに障害が発生した際に、プロトコル・アナライザでネットワークのパケット情報を取得し、これを解析することで原因を究明してきたのです。

現在では、情報社会の急速な発展とともにネットワーク障害が大きな損失を招きかねないことから、ネットワークの常時監視、ネットワークの統計情報取得、ネットワークの品質管理などの要求が高まっています。こうした背景から、プロトコル・アナライザの利用範囲が、ネットワーク障害発生時だけでなく、24時間365日のネットワーク・データ取得へと拡大してきました。

組織が説明責任を問われる時代です。プロトコル・アナライザは、単なる障害切り分けツールとしてではなく、パケット情報を記録して保存し、情報漏えいや不正アクセスを追及するためのツールとして、ネットワーク・フォレンジックの中心的役割を担うようになりました。

2. ネットワーク・フォレンジックの要件

情報通信量の増大にともない、ネットワークも100Mビット／秒（bps）から1Gbps（GbE）へ、そして10Gbps（10GbE）へと、高速化の一途を辿っています。

ネットワーク・フォレンジックに利用する機器には、これらの高速ネットワークのパケットをロスすることなくキャプチャする能力が求められます。

何かしらの事象や事件が発生した際に、システム管理者に負担をかけることなく、保存された膨大なデータから必要なデータを迅速に取り出すための検索機能を備えていることも重要です。

運用ポリシーを事前に整えておくことも重要です。単純に全データを保存するのか、それともメールやWebアクセス、telnet、FTPなどの、セキュリティ維持に重要と思われるデータだけを取得するのか、保存期間をどうするのか、などを決めます。こうしたポリシーの違いによって、その設備にも大きな差が生じます。

無駄な投資を抑えるためにも、的確な管理ポリシーの策定が、非常に重要となります。