業務サーバや部門管理サーバがLinuxやSolarisの場合、悪意あるユーザによって、システム管理者の権限であるroot権限が不正に利用され、システム運用が被害を受けることは、あってはなりません。被害の有無の確認や被害があった場合の原因究明のために、root権限を利用した不当な操作が行われていないかを点検する必要があります。root権限の利用がわかる監査ログを集計・分析し、毎日確認することが必要です。
ここでは、システムに対してroot権限を使用した操作を監査ログから見つけ出し、操作内容を点検する方法を説明します。
運用イメージ
運用形態の運用イメージを以下に示します。
システム構成
業務システムはSolarisまたは、Linuxで構成されています。業務システムごとに部門管理サーバが設置され、配下の業務サーバの監視や、業務サーバの監査ログを収集するときの中継を行っています。
業務サーバはサーバ管理者が管理/監視し、部門責任者が業務システム全体を管理/監視しています。
運用上のルール
以下のルールを決めて運用しています。
各業務サーバ、部門管理サーバでは、rootでの直接ログインを禁止します。
サーバ管理者が使用する、root権限の使用を許可されているユーザIDは、業務サーバごとに異なります。
問題点と問題を解決する運用例
所定の時間外にroot権限を使用した操作が行われたり、不当な利用者がroot権限を行使すると、システムにとって重大な問題が発生する恐れがあります。これを防ぐために、rootでのログイン禁止やパスワードへの有効期限の設定をしています。
しかし、実際に不当利用者によるroot権限の行使が完全にされていないことの確認は行われておらず、現在の対策の十分性は評価できていません。評価するためには手作業で監査ログの内容を参照し、内容を分類/分析する必要があるため、膨大な工数を必要とします。
上記の問題を解決するためには、夜間に自動で集計できるようにスケジュール運用ができ、また、集計条件を毎回入力しなくてもよい運用が実現されなければなりません。集計条件が定義されているファイルを利用して夜間に処理を行い、翌朝には、昨日のシステム運用の状態が一目でわかるという運用が求められます。
Systemwalkerでは、このような運用を実現する手段として、各監査ログの分析目的に応じた条件を設定でき、集計処理を行える機能を提供しています。従って、チェックに必要な作業はセキュリティ管理者による分析結果の確認(件数の確認)だけとなり、必要な工数とチェックミスの発生は、限りなく少なくなります。
