セキュリティ監査者が、運用管理サーバに収集されたアクセス監査ログを点検します。セキュリティ監査者は、許可すべきアクセスのみが実行されているか、拒否しているアクセスが実行されていないかを調査し、問題の有無を確認します。また、セキュリティ監査者は、点検するための情報が十分そろっているかを確認します。
サーバアクセス制御機能を利用した場合に取得できる監査資料には、「アクセス監査ログ」と「操作の録画データ」の2種類があります。以下、それぞれの特徴をまとめます。
監査資料の種類 | 特徴 | 利用契機 |
|---|---|---|
アクセス監査ログ | サーバアクセス制御の設定により指定された操作が、1行1アクセスとして出力されます。 | サーバアクセス制御の機能を利用する場合に、定期的に利用する監査資料です。通常は本アクセス監査ログにより問題の有無を判断することができます。 |
操作の録画データ | サーバアクセス制御の機能のうち、「システム保守開始」コマンドを用いた保守作業を行う際のコンソール上のキー入力情報を保存/再生することができます。 | 保守作業を実施する際に、操作時に行われたファイル編集などを監査する場合に利用します。 |
それぞれの監査情報の利用方法を以下に説明します。
サーバへのアクセスの点検(アクセス監査ログ)
監査ログ分析機能により、サーバのアクセス状況の点検、およびアクセス制御の点検を行います。点検の結果は、セキュリティ監査者が、点検レポートに出力して電子メールなどを利用してセキュリティ管理者に通知します。
問題がある場合は、点検レポートのコメントに問題内容を具体的に記載してセキュリティ管理者に送付します。
試行モードを実施している場合は、セキュリティ監査者は、正規化ログから試行モードのログのみをExcelで抽出し、セキュリティ管理者へ送付します。
監査ログ分析機能で、以下を分析します。
サーバへのアクセス状況を確認し、サーバアクセス制御のポリシー設定の妥当性を確認する
サーバに対し、許可されていないユーザによる不正なアクセスが行われていないか
サーバアクセス制御の設定に対し、不正な操作が行われていないか
監査ログを分析する手順については、“サーバの操作を点検するには”を参照してください。
システム保守作業の詳細な点検(操作の録画データ)【Linux版】
操作の録画データには、安全なシステム保守支援機能を使用して実施した作業内容が録画されています。
操作の録画データは運用管理クライアントのSystemwalkerコンソールからは点検できません。セキュリティ監査者は、管理対象サーバでswplay(録画した操作の再生コマンド)を使用し、システム保守作業の詳細な点検を行います。
swplay(録画した操作の再生コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
