監査証跡を保存する目的と効果‐監査証跡を暗号化し、改ざんを防止する方法

監査証跡とは?監査証跡を保存する目的と効果

監査証跡とはシステム監査を行う際の資料として用いられるログデータです。情報システムにおける処理内容やプロセスを記録し追跡する監査証跡は、業務上必要な重要情報へのアクセスや操作において不正がないかを監査するために必要です。

システム監査を行わない場合、重要な情報に不正操作が行われた場合でも、その原因を調査することができません。重要な情報を監査できない状態にしておくことは、大きなリスクとなります。

また、記録しておくという事そのものが、不正な操作の抑止にもつながります。

例えば、防犯カメラの設置率とその付近の治安の高さは比例しているのは有名な話です。監査証跡の記録はそれと同じような効果を生みます。 

さて監査証跡の保存、管理を行う際に注意しなければいけないのが、そのデータには機密情報が含まれていることです。

管理者あるいは監査者以外から閲覧を防ぐ必要があり、そのための仕組みとして暗号化があります。

秘密鍵を持っているユーザーのみがデータを再生できる権利を持つことで、機密が第三者の目に触れることを防ぎます。

また、システム監査の際にデータが改ざんされていることを防ぐ必要もあります。デジタル署名、タイムスタンプを施すことでデータの原本性を確保することが重要です。

今回はOneidentity社のSafeguard for privileged Session(SPS)で監査証跡に暗号化を施し、タイムスタンプとデジタル署名をデータに付与する手順、そしてデータを復号して再生可能な状態にする手順を合わせてご紹介します。

SPSは、リモート接続の監査証跡を管理できる製品です。

監査証跡の暗号化手順 

まず初めに

  1. CA認証局から発行された証明書
  2. サーバー発行の秘密鍵

を用意します。 

それではまずSPSに該当ファイルをアップロードしていきます。

SPSのwebインターフェースで Policies>Audit Policies をメニューから選択し、ポリシーの設定を行います。

Enable encryption(暗号化)Enable timestamping(タイムスタンプ)Enable signing(デジタル署名)にチェックを入れたのちにファイルのアップロードを行います。

  1. Enable encryption欄下のEncryption cert (X.509)のファイル選択ボタンを押し、CA認証局から発行された証明書をアップロードします。
  2. Enable signing欄下のX.509 certicateのファイル選択ボタンを押し、CA認証局から発行された証明書をアップロードします。
  3. Enable signing欄下の Private key のファイル選択ボタンを押し、サーバー発行の秘密鍵をアップロードします。
  4. 設定名称を変更し、Commitボタンを押します。

次に各接続にポリシーを適用させます。ここではSSH接続を例に設定を行います。

SSH Control > Connectionsをメニューから選択します。

ポリシーを適用させたい接続を確認し、展開アイコンをクリックします。

その後、下へとスクロールすると以下のような画面になるのでAudit policy の選択ボックスを先ほど設定した名前の設定名に変更します。

Commitボタンを押し、接続設定を完了します。

監査証跡が暗号化されているかを確認

それでは実際に監査証跡を閲覧する場合に暗号化されているか確認します。

Searchをメニューから選択し、閲覧したい監査証跡を確認してください。その後、Detailボタンを選択し、右上のメニューから監査証跡をダウンロードします。

次にダウンロードしたファイルを専用のプレイヤーで再生します。

 

ファイルをプレイヤーで開くと上の画像のような画面になります。

暗号化したファイルの複合化

このままでは監査証跡を再生することはできません。 

暗号化したファイルを複合化するため先ほどのファイルをインポートしていきます。

インポートボタンを選択しキーと証明書のアップロード画面を開きます。

 

それではまずCA証明書のインポートを行います。

ボタンを押して該当証明書ファイルを選択後、「ロード」を選択します。

インポート成功と出たら、完了です。

 

 

次に秘密鍵のインポートを行います。

 

 同じように秘密鍵をアップロードしていきます。

ボタンを押して該当秘密鍵ファイルを選択後、「ロード」を選択します。

完了すると先ほど再生不可だった監査証跡ファイルが再生可能になっており、かつTimestamp及びデジタル署名にチェックが入っているのが確認できました。

 このようにSPSを使えば、監査証跡を暗号化することによって第三者への漏えいリスクを抑えることができます。

また技術者のみならず、専門的な知識がない方でも、プレイヤーで再生した映像によってどのような操作が行われたのか確認ができるので、より信頼性が高い仕組みとなっています。

今回はSPSを利用した監査証跡の暗号化についてご説明しました。

監査証跡を暗号化し、改ざんを防止するSPSのご紹介

SPSには、この記事で紹介した以外にも機能があります。
その他の特長や機能については、 製品紹介ページをご参照ください。

製品紹介ページはこちら
製品ガイドダウンロードはこちら

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

NetFlow ntop sFlow SNMP SSB Syslogサーバー シスログサーバー セキュリティブログ トラフィック監視 ネットワークモニター ネットワーク監視 ログ保存 ログ管理 ログ管理ブログ 機器・サーバー監視のへや

JTC IT用語集
TOP