[Sponsored]

[「パワーセキュリティ」解説]

2014年8月5日(火)

リスト

キー操作・イベントログの収集で不審な行動を把握する

　2つめの特徴であるキー操作・イベントログの収集は、権限昇格したユーザーの一連のキー操作、コマンド実行履歴をすべてログとして記録する機能だ。UnixやLinuxサーバーでも、どのユーザーがいつログインしログアウトしたか、どのシェルでどのプロセスを立ち上げたかなどは、シェルのコマンド履歴やプロセスの起動ログなどを複数組み合わせることで探ることはできる。だが、通常は、シェルの中で実行したコマンドにどんな結果を返したか、どのキーが押下されたかといったレベルでの把握はできない。

　一方、PowerBrokerでは、キー操作のログで、スペースキーやエンターキーを押下したことまで把握できる。一連の行動をスクリーンショットのように記録して操作履歴をたどることや、それらをつなげて一連の行動をビデオのように再現する機能も備えている。

　これらは、内部統制の監査証跡として使うことができる。こうした機能が特に効果を発揮するのは、不正操作などを追跡調査する場合だろう。キー操作ログとイベントログは専用のサーバで一元管理されるため、作業者がOSのログを削除するといった証拠隠滅をはかった場合、それを把握することができる。また、追跡時のコマンド入力のクセや入力者の技術レベルを見ることで、不正な行為を行ったものを特定するためのヒントにすることもできる。

ポリシーとログの集中管理でセキュリティ管理の手間を軽減

　3つめとして、管理対象サーバーで実行される特権IDの付与や、キー操作・イベントのログを集中的に管理できる構造を採用していることが特徴に挙げられる。具体的な構成としては、管理対象サーバーに「PowerBroker Unix & Linux(PBUL)」のエージェントをインストールし、そこから得られる情報を、ポリシーを管理するサーバー「PowerBroker Master Server」、イベントログとキー操作ログを管理するサーバー「PowerBroker Log Server」にそれぞれ集約する形だ。

　複数のUnix、Linuxサーバーに関するポリシーやログを一元的に管理できるため、セキュリティ管理の手間を軽減することができる。複数サーバーの情報をまとめて管理することができないsudoのような仕組みと比べてもメリットは大きい。

　運用面では、ロギングによるパフォーマンス劣化が少なく、インストールも簡単という特徴もある。キー操作ログやイベントログを収集する製品のなかには、カーネルをフックしてすべての情報を取得するソフトウェアもあるが、それらはパフォーマンスに影響を与えやすい。また、再起動なしにインストールでき、障害が発生した場合でも影響が少ないという。