監査ログを確認することによって、悪意ある操作が行われていないかを判断できます。監査ログから、漏洩したユーザIDや不正に使用された端末名を確認できるため、その後の対策を実施できます。また、監査ログを参照することで、過去の操作履歴を振り返り、誤った操作などを確認できます。
ログ情報の点検を行う
望むべきセキュリティ機能を実装したシステムにおいても、その運用が正しく行われているかどうかについては、常に目を光らせていなければなりません。セキュリティに対する防御機能は常に新しい技術や機能が提供されますが、悪意ある第三者は常に最新のセキュリティ技術をかいくぐれると考えるべきです。
これらの悪意ある最新の技術に対抗することは、非常に困難なことですが、システムの状況を常に点検することで、対策を立てやすくすることができます。
Systemwalker Centric Managerが提供するソリューション
Systemwalker Centric Managerでは、システムの状況を監査ログとして運用管理サーバに収集し、保管することを目的とした「監査ログ管理」機能を提供しています。この機能を使用することで、システムの基本的なログ(シスログ、イベントログなど)から、Systemwalker Centric Manager自身を利用した操作内容を出力した監査ログまで、幅広く収集できます。
監査ログの重要性を十分理解した上で、監査ログ管理機能によりログの効率的な点検を実施してください。
監査ログの収集
監査ログは以下のように収集されます。
部門管理サーバおよび運用管理クライアントの監査ログは、運用管理サーバに収集されます。
各業務サーバの監査ログは、その業務サーバを管理する部門管理サーバを経由して、運用管理サーバに収集されます。
運用設計する場合の検討事項
監査ログ管理機能を使用する際に検討すべき点は以下のとおりです。
収集するログの種類
監査ログとして収集するログファイルには、多くのファイルが存在します。Systemwalker Centric Managerで標準的に収集可能なシステムのログやSystemwalker Centric Manager自身の監査ログだけでなく、業務アプリケーションが出力するログファイルなども監査ログとして収集することを検討してください。
収集するタイミング
一般的な監査ログは、出力されたサーバ上に長い間放置することは、監査ログの改ざんや情報漏洩につながることがあります。業務負荷が少なくなる深夜などを利用し、少なくとも1日1回は収集するように運用を検討してください。
収集した監査ログの保全
運用管理サーバに収集した監査ログでも、そのまま放置しておくことは危険であることに変わりはありません。特に多数のサーバから監査ログを収集する場合は、バックアップの運用の検討、二次媒体装置(WORM: Write Once Read Many、一度だけ書き込むことができ、消去/変更のできない記憶メディア)を利用するなど、改ざんに対する対策を常に心がけるようにしてください。
不正な操作や誤った操作の検出
不正な操作や誤った操作を検出するために、必ず監査ログの設定を行い、Systemwalkerコンソールから実施した操作内容が監査ログに格納されるようにしてください。監査ログを設定することにより、Systemwalkerコンソールから行われた操作は監査ログとして常に記録されます。問題が発生してなくても、監査ログから過去の操作履歴を振り返ることにより、思わぬ問題や改善点を見つけることができます。
コンソール操作制御機能を使用しているときは、Systemwalkerコンソール上で行われた操作の権限チェックの結果も監査ログとして記録されます。
Systemwalker Desktop Keeperと連携する
Systemwalker Desktop Keeperの操作ログを運用管理サーバで管理できます。
Systemwalker Desktop Keeperと連携し、Systemwalker Desktop Keeperの操作ログを運用管理サーバに収集する手順については、Systemwalker Centric Manager 技術情報で公開されているマニュアル“Systemwalker Centric Manager 連携ガイド Systemwalker Desktop Keeper編”を参照してください。
監査ログ収集・分析を導入するための流れ
監査ログ収集・分析を導入する作業の流れを説明します。
システム構成:クラスタシステム、二重化システム、全体監視 |
ログの格納先:運用管理サーバ、中継サーバ、二次媒体(ストレージ)装置 |
監査ログの改ざん確認・分析 |
監査ログの圧縮保存・二次媒体(ストレージ)装置への退避、退避するタイミングを選定します |
ログを管理するサーバ、ログを収集するサーバを選定します
ログを管理するサーバ、ログを収集するサーバを選定します。
ポイント
システム構成
Systemwalker Centric Managerを導入する場合、実際のネットワーク環境やシステムを管理する組織構造を考慮してシステムの構成を検討する必要があります。
運用管理サーバはどこに設置したらよいのか、部門管理サーバは設置する必要があるのか、また、設置するとしたら、どこに設置し、どの範囲までを管理するのかなどを検討していきます。
詳細は、“Systemwalker Centric Manager 導入手引書”の“システム構成を決定する”を参照してください。
また、システム構成として、クラスタシステム、また、運用管理サーバのシステム構成として二重化システム、全体監視システム構成が必要か否かを検討します。
クラスタシステムについては、“Systemwalker Centric Manager クラスタ適用ガイド”を参照してください。
二重化システムについては、“Systemwalker Centric Manager 運用管理サーバ二重化ガイド”を参照してください。
全体監視システムについては、“Systemwalker Centric Manager 全体監視適用ガイド”を参照してください。
ログを管理/収集するサーバを選定
監査ログの収集とは、被管理サーバ(運用管理サーバ、部門管理サーバ、業務サーバ)上に存在するログを運用管理サーバか中継サーバ(部門管理サーバ)経由で運用管理サーバに収集します。
監査ログの分析とは、運用管理サーバに収集した監査ログを利用して検索/分析を行います。
監査ログを収集/分析するには、以下のサーバが必要です。
ログを管理するサーバ:運用管理サーバ
ログを収集するサーバ:被管理サーバ(注) (運用管理サーバ、部門管理サーバ、業務サーバ)
ログを中継するサーバ:中継サーバ(運用管理サーバ)
注)
被管理サーバには、運用管理クライアントも含まれますが、収集可能なログは、Systemwalkerコンソールの監査ログのみとなります。
収集するログの種類・ログの容量を選定します
運用管理サーバに収集する被管理サーバ上のログの種類・ログ量を選定します。
ポイント
ログの種類
収集するログの種類は、どの監査ログを用いて監査を行うか、監査するために格納しておくべき監査ログは何かの観点で選定します。
収集できるログファイルの種類については、“収集・管理できるログファイルの種類”を参照してください。
また、”収集・管理できるログファイルの種類”に記載されていないテキストログファイルについては、“監査ログ管理の収集規約”に従った形式であれば、収集可能です。
なお、収集するログについて、ログ収集定義に必要な以下の点を確認しておきます。
ログファイルは、テキストログファイルかバイナリログファイルか
ログファイルは、単一で生成されるか複数で生成されるか
複数で生成される場合、ファイル名の昇順に依存して生成されるか降順で生成されるか
ログファイルが生成されるパスはどこか
ログファイルの日付と時間の形式は、監査ログ管理が標準で用意した形式と合っているか、標準で用意した形式がない場合は、必要に応じてログファイルの日付と時間の形式にあった日付書式定義ファイルを用意します。
詳細は、“監査ログ管理の収集規約”を参照してください。
ログの容量
収集するログの1日当たりの容量を確認します。
ログの容量に応じて、監査ログ管理に必要な資源を準備・確認します。監査ログ管理に必要な資源については、“Systemwalker Centric Manager 導入手引書”の“監査ログ管理に必要な資源”の被管理サーバ側を参照してください。
収集したログの格納先を選定します
収集したログを格納・管理する格納先を選定します。
ポイント
格納先は、運用管理サーバ・中継サーバ(部門管理サーバ)上で選定します。格納先には、十分なディスク容量が必要です。
また、運用管理サーバに必要な監査ログ管理の資源については、“Systemwalker Centric Manager 導入手引書”の”監査ログ管理に必要な資源”の運用管理サーバ側を参照してください。
また、収集した監査ログの保全を考慮する場合、バックアップの運用の検討、二次媒体装置(WORM: Write Once Read Many、一度だけ書き込むことができ、消去/変更のできない記憶メディア)を利用することを考慮します。
収集するログの経路を選定します
選定したログを管理/収集するサーバからどの経路でログ収集を行うかを選定します。
ポイント
選定する際に、以下の点を考慮します。
ログの量
サーバ/ネットワーク性能など
運用中にログ収集可能か否か
これらの点を考慮し、中継サーバの設置を検討します。
また、中継サーバを設定した際、運用管理サーバへ収集するログや中継サーバへの収集にとどめるログを検討し、運用管理サーバへの負荷をできるだけ少なくします。
運用管理サーバへ収集するか中継サーバへの収集にとどめるかは、以下の点を考慮します。
ログ分析の問い合わせファイルを使用したログの集計を行うか否か
運用管理サーバ内(部門管理サーバ間)または部門管理サーバ内での監査ログを用いた証跡とするのか
収集した監査ログの活用を考慮します
収集した監査ログを確認することによって、悪意ある操作が行われていないかを判断できます。監査ログから、漏洩したユーザIDや不正に使用された端末名を確認できるため、その後の対策を実施できます。また、監査ログを参照することで、過去の操作履歴を振り返り、誤った操作などを確認できます。
また、監査ログを不正に書き換えられていないかを確認することができます。
監査ログ分析を利用すると、さらに以下のことが可能となります。詳細は、“監査ログを分析する”を参照してください。
さまざまな収集した監査ログのフォーマットを統一(正規化)し、検索・集計することができます。
問い合わせファイルを使用してログの集計結果からルールに則った運用であるかを確認できます。
問題箇所の点検や運用状況の分析ができます。また、分析結果をレポートとして作成することができます。
ポイント
監査ログ分析における問い合わせファイルを利用した集計や分析結果レポート機能を利用する場合、以下のソフトウェアが必要になります。
Interstage Navigator Server
詳細は、“Systemwalker Centric Manager 導入手引書”の“監査ログ分析に必要な資源”、“監査ログ分析機能を利用する場合の環境設定”と“Systemwalker Centric Manager 解説書”の“関連ソフトウェア”
を参照してください。
監査ログ分析に必要な資源についても“Systemwalker Centric Manager 導入手引書”の“監査ログ分析に必要な資源”を参照してください。
収集した監査ログの保全を考慮します
運用管理サーバや中継サーバ上の格納先ばかりを利用しているとディスクが枯渇することが考えられます。その際、定期的に監査証跡に不要となった監査ログを二次媒体装置へ退避させることを考えます。
また、運用管理サーバに収集した監査ログは、そのまま放置しておくことは危険であるため、二次媒体装置でもWORM(Write Once Read Many、一度だけ書き込むことができ、消去/変更のできない記憶メディア)を利用することを考慮します。
収集した監査ログは圧縮することもできます。
収集するタイミングを選定します
収集するスケジュールを考えます。二次媒体装置へ収集した監査ログを退避させる場合は、退避するスケジュールも考えます。
ポイント
中継サーバを導入する場合、業務サーバから中継サーバへのログ収集と中継サーバから運用管理サーバへのログ収集のスケジュールを考えます。この場合、中継サーバから運用管理サーバへのログ収集は、業務サーバから中継サーバへのログ収集が完了した後に実施するようにスケジュールします。
二次媒体装置へ収集した監査ログを退避する場合は、監査証跡に不要となった監査ログを定期的に退避するようにスケジュールします。不要となる期間は監査証跡の運用期間に依存します。また、圧縮した後に退避する場合は、圧縮完了後に退避するようスケジュールします。
監査ログ管理のログ収集定義を行います
監査ログ管理のログ収集定義を行います。
ログ収集定義を行う方法は、以下の方法があります。詳細については、“監査ログ管理の設定例”や“監査ログを収集・保管するための設定”を参照してください。
コマンドの入力ファイルに記載して設定する
コマンドを使用して設定する
ポリシーを使用して設定する
ポイント
監査ログのログ収集定義で使用/関連するコマンドは、以下のとおりです。詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
コマンドの入力ファイルに記載して設定する
mpatmdef(ログ収集一括定義コマンド)
コマンドを使用して設定する
mpatmaccdef(共有リソース接続ユーザ設定コマンド)
mpatmlogapdef(ログ収集設定コマンド)
mpatmlogdef(ログ収集情報定義コマンド)
mpatmsvrtypedef(サーバ種別設定コマンド)
mpatmtrsdef(ファイル転送情報定義コマンド)
ポリシーを使用して設定する
mpatmpset(監査ログ管理ポリシー情報移入コマンド)
二次媒体装置へ収集した監査ログを退避する
mpatmmediadef(収集ログ二次媒体複写先設定コマンド)
監査ログ管理のログ収集定義を行った後、実際のログ収集や二次媒体装置へ退避などのコマンドを確認します。Systemwalker Operation Managerなどでスケジュールに合わせて定期的に実施することにより、運用サイクルに合わせた実施が可能となります。詳細については、“監査ログを収集する”、“監査ログを管理する”、“監査ログを評価する”、“監査ログを退避する”を参照してください。
監査ログ管理の運用で使用/関連するコマンドは、以下のとおりです。詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
ログを収集する
mpatmlog(ログ収集コマンド)
二次媒体装置へ退避する
mpatmmediacopy (共有リソース接続アカウント設定コマンド)
収集した監査ログを圧縮/解凍する
mpatmarchive(収集したログの圧縮コマンド)
mpatmextract(圧縮したログの解凍コマンド)
収集した監査ログの改ざんチェックする
mpatmchecklog(収集したログの改ざん確認コマンド)
収集した監査ログを削除する
mpatmdellog(収集したログの削除コマンド)
収集したログ管理情報を削除する
mpatmdelap(ログ情報削除コマンド)
クラスタシステムの共有ディスク上のログを収集する場合には、前述した監査ログ管理のログ収集定義の前に、ログ収集定義を行う必要があります。詳細については、“Systemwalker Centric Manager クラスタ適用ガイド Windows編”、“Systemwalker Centric Manager クラスタ適用ガイド UNIX編”の“監査ログ管理機能を使用する場合”を参照してください。
クラスタシステムの共有ディスク上のログを収集する場合に使用する監査ログ管理の定義/関係するコマンドは、以下のとおりです。詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
共有ディスク上のログを収集するための設定/設定解除
mpatmcsset(共有ディスク上のログ収集設定コマンド)
mpatmcsunset(共有ディスク上のログ収集設定解除コマンド)
共有ディスク上のログ収集情報の退避/復元
mpatmcsbk(共有ディスク上のログ収集情報退避コマンド)
mpatmcsrs(共有ディスク上のログ収集情報復元コマンド)
中継サーバを設定する場合の詳細について、“中継サーバを利用するための設定”を参照してください。
監査ログ分析の定義を行います
監査ログ分析を利用するための定義を行います。詳細については、“監査ログを分析する作業の流れ”を参照してください。
ポイント
監査ログ分析の定義で使用/関連するコマンドは、以下のとおりです。詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
監査ログ分析の正規化ログ格納先を設定する
mpatacnvtdef(正規化ログ格納先定義コマンド)
監査ログ分析の正規化ルールの登録(更新)、削除を行う
mpatarulectl(正規化ルール管理コマンド)
監査ログ分析の定義を行った後、実際の正規化処理やログの集計/レポート作成を行うコマンドを確認します。Systemwalker Operation Managerなどでスケジュールに合わせて定期的に実施することにより、運用サイクルに合わせた実施が可能となります。
監査ログ分析の運用で使用/関連するコマンドは、以下のとおりです。詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
監査ログを正規化する
mpatalogcnvt(監査ログ正規化コマンド)
集計レポートを作成する
mpatareportput(集計レポート出力コマンド)
集計レポートにコメントを追加する
mpatareportcomment(集計レポートコメント追加コマンド)
監査ログ収集/分析の運用を開始します
監査ログ収集/分析を開始した後は、正しく収集/正規化されているかを特に注意します。詳細については、“監査ログ管理の注意事項”を参照してください。
