予防的統制の領域でブロードが展開する主力製品が「パワーセキュリティ」である。特権IDを厳格に取り扱うことを目的に、アカウント管理やアクセス管理、ログ管理といった機能を日本企業に最適化させた形で統合しているのが特徴だ。
特権IDとログ管理の2つのアプローチ
山岸氏によると、特権ID管理/ログ管理には、大きく2つのアプローチがあるという。1つは、特定のシェルを起動させ、そのシェルが起動している間はすべてのログを取得するというアプローチだ。cshやbashなどを起動する際に、ログインに成功したらその後のすべてのログを記録するようにする。この場合、一般ユーザーであろうと特権ユーザー(root)であろうとすべてのログを取得できる。何か問題が発生した場合も、すべてのログを対象にした追跡が可能だ。ただし、すべてのユーザーのすべての操作ログを取得することは保管のコストなどが高くなりやすく、また、特権IDの共有という「特権IDの形骸化」につながる問題を根本的に解決するものではない。
そこで必要になってきたのがもう1つのアプローチだ。つまり、特権が欲しいときに、そのリクエストを管理サーバなどに送り、権限を貸し出してもらうというものだ。必要な時にのみ特権を必要とするコマンドを実行し、その実行ログを記録しておくので、特権IDをユーザー全員が共有するといった危険な使い方を避けることにつながる。
これは、Unix/Linuxのsudoコマンドなどが採用しているアプローチでもある。普段は一般ユーザーでログインして作業し、たとえば特定のファイルの内容を編集したい時などには「sudo vi」などとする。この場合、sudoで実行したコマンドのログがシステム内に記録されるので、リスクの高い操作ログを確実に取得し、問題が発生した場合に追跡できるようになる。
「本来的には、システム内のあらゆるユーザーが行う操作について、カーネルをフックしてすべてのログを取得するのが望ましい。だが、パフォーマンスや運用、コストの問題で、そこまでログ管理を徹底するのは難しいのは事実。そこで、特権IDの貸し出しを管理し、特権IDや重要ユーザーのログを必要な範囲で取得して管理するといったアブローチが現実解となる」(山岸氏)。
- 日本国内のニーズに対応するためにPowerBrokerを機能拡張(2014/10/01)
- ポリシーに則ってサーバー管理者ができることを限定、キー操作の内容も克明に記録する(2014/08/05)
