悪意あるユーザによって、サーバが不正に利用され、システム運用が被害を受けることは、あってはなりません。被害の有無の確認や被害があった場合の原因究明のために、サーバ操作のポリシーが改ざんされていないか、ポリシーどおりに運用されているかを点検する必要があります。内容がわかる監査ログを集計・分析し、毎日確認することが必要です。

ここでは、サーバに対する操作を監査ログから見つけ出し、操作内容を点検する方法を説明します。

運用形態の運用イメージを以下に示します。

システム構成

業務システムはDBシステムとWebシステムの2つで構成されています。業務システムごとに部門管理サーバが設置され、配下の業務サーバの監視や、業務サーバの監査ログを収集するときの中継を行っています。

業務サーバはサーバ管理者が管理／監視しており、部門責任者が業務システム全体を管理／監視しています。

現状の問題点

Systemwalker Centric Managerでは、サーバアクセス制御を利用して一般ユーザが利用可能なサーバ資産の制御を行っています。しかし、Webサーバ、アプリケーションサーバ、DBサーバなど、用途が異なる複数のサーバから構成されるシステム環境で、想定したとおりの運用が行われているかどうかについては定かではありません。また、サーバアクセス制御は監査ログを出力しますが、複数のサーバの監査ログを毎日目視で点検するには限界があり、監査ログによる分析はほとんど行われていません。

問題を解決する運用例

上記の問題を解決するためには、夜間に自動で集計できるようにスケジュール運用ができ、また、集計条件を毎回入力しなくてもよい運用が実現されなければなりません。集計条件が定義されているファイルを利用して夜間に処理を行い、翌朝には、昨日のシステム運用の状態が一目でわかるという運用が求められます。

Systemwalkerでは、このような運用を実現する手段として、各監査ログの分析目的に応じた条件を設定でき、集計処理を行える機能を提供しています。従って、チェックに必要な作業はセキュリティ管理者による分析結果の確認（件数の確認）だけとなり、必要な工数とチェックミスの発生は、限りなく少なくなります。