Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
1
アクセス・ログアクセス・ログアクセス・ログアクセス・ログ取得取得取得取得システムシステムシステムシステム導入の考察導入の考察導入の考察導入の考察
1.1.1.1. セキュリティセキュリティセキュリティセキュリティ対策における対策における対策...
2
年 4 月 1 日の、個人情報保護法(個人情報の保護に関する法律)の全面施行により、いっそう、
厳しく管理を求められることになった。
■ 具体的な記録方法としては、FISC 運用基準 22 条に規定されている。
運 22 オペレーションの記...
3
端末機操作による不正取引を防止するため、取引明細表、端末機操作記録等により、取引内容が検証できる
体制を整備すること。
1. 取引内容等が記録された端末機のジャーナル、センターから還元される取引明細表等を使用
した検証方法を定めておくことが...
4
-SOX法(サーベンス・オックスレー法)
- FFIEC(連邦金融機関検査協議会)ガイドライン
- Basel II(新 BIS 規制)
などがあり、多くの規制が整備されている。また、VISA、Amex、Discover、MasterCar...
5
さを保証することを要求している。日本版 SOX 法が対応すると思われる。
■ こうした要件に企業が対応するための 5 つのステップを、米 Gartner が提唱している。
①自社が行っていることの把握、②文書化、③ISO1799/BS779...
6
能であるが、ほとんどの UNIX で標準的に使用でき、通常は syslog を使ってログを取得するこ
とになる。
■ システム・ログは、出力されるメッセージの内容や用途に応じて、以下のような種類のものが
別々のファイルに記録される。UNIX...
7
痕跡が残るログファイルとしては、「アクセス・ログ」と「コマンド実行ログ」が挙げられ、不正侵
入に対処するためには、それらを取得し管理・分析することが重要である。
■ コマンド実行ログとは、ユーザが実行したコマンドを記録するヒストリ機能であり...
8
4444....アクセス・ログアクセス・ログアクセス・ログアクセス・ログ記録関連システム記録関連システム記録関連システム記録関連システム概観概観概観概観
ネットワーク管理及びセキュリティを監視する関連システムは、以下のマトリックスで整理でき...
9
■ たとえば、IBM 社の Tivoli は、大型 Network 管理システムであり、元々は社内の大規模なネッ
トワーク全体のトラフィックや性能の管理、障害の監視を行うために利用されるものである。そ
のため主たるデータとして SNMP を...
10
・ エンドポイント・セキュリティ・ベンダー-Computer Associates(Pest Patrol)、eEye、
Elemental Security、InfoExpress、iPASS、ISS、McAfee、Shavlik、Su...
11
■ 米 Forrester Research は、セキュリティ機器などからの情報を収集/分析するセキュリティ・イ
ベント管理(SEM)ソフトウエアに関する調査を行った。それによると、SEM ベンダーはそれぞ
れまったく異なる手法やアーキテ...
12
テム(住友商事)がもっとも積極的に手がけており、米国で実績のある ArcSight を導入済みで、
日本国内銀行向けの実績があり、圧倒的なシェアを誇るものと思われる。ジェトロニクスは
NetworIntelligence、テリロジーは n...
13
・日本でのサポートがあること
・UNIX 上で動作すること
・RADIUS 認証サーバ等と連動すれば、尚良い(必須ではない)
・価格は安いに越したことはないが 2、3 年でつぶれてしまうようなベンチャーでも困る。
■ FISC の運用基準...
14
トにもエージェントを入れるタイプでは、クライアントの作業についてもログを残す設定をしてい
れば、サーバ側でログを収集し、分析することができる。ただし、クライアントでどんなアプリケ
ーションを動かしどんなログを取っているかによって、コマンド...
15
グを収集するので、パフォーマンスが高く、コンプライアンス・ニーズにより対応できることが挙
げられる。値段は最低単位 5 百万円ぐらいであるが、冗長性を持たせるため、最低 2 セット導
入することが推奨されており、10 百万円ぐらいである。...
16
とができる。
■ 特徴
ArcSight は大規模ネットワーク向けに開発された、知名度の最も高い SIM/SEM 製品である。
さまざまなネットワーク/セキュリティ機器からのイベントを収集し、相関分析により重大な問題
の発生を検知してアラ...
17
ArcSight の構成図の構成図の構成図の構成図
■ クライアント要件に対する対応状況
①日本での FISC の安全対策基準を満たしていること
FISC 安全対策基準のアクセス・ログ管理の部分をカバー可能な製品である。最近この部分で
ユ...
18
することが可能である。この場合、ArcSight では、アクセスするオペレータなどのユーザの PC
に Agent をいれる必要はない。もしくは、DB に対して Agent を入れることで、SQL コマンドを収
集することが可能である。そ...
19
⑥日本でのサポートがあること
住商情報システムは日本で SIM システムの構築・運用ノウハウを持つ数少ないベンダーであ
り、販売実績は国内 No.1 である。
⑦UNIX 上で動作すること
Solaris 9 上で動作(Manager、A...
20
たルールが多数入っており、あくまでセキュリティツール、という位置づけになる。HP の Open
View との連携では、例えば Open View に ArcSight からアラートを飛ばして OpenView 上に表
示するなどが可能で...
21
とする当社が、代理店になった。もともと日本オリベッティー)。
■ 概要
同社はセキュリティおよびネットワーク装置からイベントログ・データを収集、相関させ、企
業や政府機関のネットワークにおけるネットワーク利用状態およびセキュリティポリシー...
22
■ クライアント要件に対する対応状況
①日本でのFISCの安全対策基準を満たしていること
NIEアプライアンスは、Web、DB等のサーバや、ファイアウォール、ルータなどのネットワーク機
器、UNIX、Windows、Solarisのログを...
23
⑤米国での金融系で実績があること(GLB法のSafe Guardを満たすなど)
E*TRADE, FIfth Third Bank, allfirst, BMO, WSB, HSBC, BANCA DIROMA, KBS, Capital...
24
製品力があり成長性の見込めるツールである。製品カテゴリはセキュリティいう意味合いが強
いが、近年ではネットワークマネジメントとセキュリティーマネジメントの垣根が無くなっており、
同ツールは企業のセキュリティ理者のみならず、ネットワーク管理...
25
る。また、サーバへのログインは、オペレーションミスにつながる恐れがある。更に、サーバへ
のログインが頻繁にある場合には、不正なアクセスの発見が目立ちにくい。といった問題があ
った。
しかし、Loglogicを用いることにより、複数の機器の...
26
しくなった内部コンプライアンス対応による。
⑥日本でのサポートがあること
伊藤忠テクノサイエンスが導入を予定。
⑦UNIX 上で動作すること
システムはハードでネットワークに接続するもので、OS は関係ない。
⑧RADIUS 認証サーバ等...
27
GuardedNet 社は 1999 年に設立された未公開企業。従業員は約 42 人。主要製品の
「neuSECURE」は、一元的なセキュリティ管理,異なるシステム環境のログ収集、リアルタイム
の問題検出を可能にし、監査およびコンプライア...
28
を高い精度で自動的に抑止するインテリジェントなインライン装置も重要となっている。これを
導入することで、ネットワークの稼動状況に対する理解を深め、内外からの攻撃を効果的に
検知・抑止することができるようになる。
■ 特徴
・GLBA など...
29
グは、キーロガーなど収集ツールを使う必要がある。
③ログ記録が改ざんできないこと
ログ情報は、サーバ上の業務アプリケーションが吐き出すログをリアルタイムで正規化され、
相関分析を行うため、改ざんできないような仕組みとなっている。(代理店に...
30
■ 所見
GardedNet は米国で有力なソフトのひとつであったが、日本での実績はなかった。2005年 7月
に日本での拠点を持ち Micromuse が買収したことで、Micromuse 自ら販売を開始している。更
に、IBM に買収...
31
IBM Tivoli Access Manager for Operating Systems は、従来の UNIX 管理モデルのセキュリテ
ィーを補強して、UNIX/Linux 環境で動作するアプリケーションに対する階層的なアクセス管理...
32
Tivoli Access Manager for Operating Systems の監査ビューで、監査データのフィルタリングやフォ
ーマットが行われる。例えば、ユーザごとのレコードを取り出してカンマ区切りでファイルに保存し、
レポー...
33
日商エレクトロニクス他
http://www.nissho-ele.co.jp/
■ 概要
あらゆるビジネス要素が IT ネットワークに依存しており、その度合いは今後も継続的に増大
すると予想され、構成する機器(サーバ、クライアント、ネッ...
34
NSM Living Policy(TM) (セキュリティー・ポリシー運用支援ツール)
Living Policy(TM)は、Intellitactics 社が提供する NSM(Network Security Manager)製品群を代...
35
■ ベンダー
Concord 社
http://www.concord.com/
ボストン本社で、CA に買収されて系列会社となった。ネットワークパフォーマンス監視システ
ムである eHealth を開発し、日本で銀行ほか 300 ユーザ...
36
・ 取得データを保存して分析するため、単なる実績データの表示のみならず、傾向から何
時閾値を越えるかという予測も可能である。さらに、他の問題点と比較した問題の重要度
合いの指標(ヘルスインデックス)報告をはじめ、わずかな変化でも初めて起き...
37
る。専用エンジンにより、さまざまなアルゴリズムを通じて集約した情報の相関分析を行い、そ
の結果をコンソールに表示するという仕組みである。
OS のほかファイアウォールや IDS、ウイルス対策ソフトなどが吐き出すログを収集し、その中
から重...
38
に対する改ざんの防御など厳しいと感じるため、対象にはならないということであった。また、
テリロジーは、米国の先進的なネットワーク関連の機器の導入に注力した専門商社(店頭上
場)で、ネットワークにおける専門性は高いが、セキュリティに関しては...
アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)
Upcoming SlideShare
Loading in …5
×

アクセス・ログ取得システム導入の考察(完全版)

3,410 views

Published on

本件コンサルティング、調査レポートのお問い合わせは以下にお願いいたします。なお、初回相談は無料ですので、お気軽にご連絡ください。
ホームページ; http://www.fusion-reactor.biz/japanese
担当; 徳田 浩司
電話 日本 050-5534-1114 (国内電話で通じます)
E-mail: info@fusion-reactor.biz
Linkedin; www.linkedin.com/in/tokuda

Published in: Technology
  • Be the first to comment

アクセス・ログ取得システム導入の考察(完全版)

  1. 1. 1 アクセス・ログアクセス・ログアクセス・ログアクセス・ログ取得取得取得取得システムシステムシステムシステム導入の考察導入の考察導入の考察導入の考察 1.1.1.1. セキュリティセキュリティセキュリティセキュリティ対策における対策における対策における対策におけるアクセス・ログアクセス・ログアクセス・ログアクセス・ログ取得の重要性取得の重要性取得の重要性取得の重要性 ■ 近年、コンピュータネットワークの発展とインターネットの普及に伴って、多くの企業では、VPN、 Extranet、リモートアクセスサーバ、Web などを通じて、企業の内部と外部の接続が頻繁に行 われている。そのため、企業はハッカーによるサーバへの不正侵入、Web の改ざん、社内機 密情報の漏えいなど様々なリスクにさらされることになり、ファイヤウォールや IDS(Intrusion Detection System、侵入検知システム)などの整備により、セキュリティ対策を施している。ま た、外部からの不正侵入方法が一段と巧妙になるばかりか、内部者による重要顧客リストの 漏洩事件も後を絶たず、企業は、更なるセキュリティ対応・コンプライアンス対応の強化に迫ら れている。更に、ハッキングのみならずネットワーク障害も絡み合って事態は一層複雑化して おり、セキュリティの面のみならず、ネットワーク管理をも考慮した対策が必要とされている。 ■ 障害や不正アクセスへの対応・分析について、もっとも重要な手がかりは、種々のログ情報で ある。OS、ミドルウエア、業務アプリケーションなどが出力するログは、システムへのアクセス 状況、エラーメッセージなど、種々の情報を取得することができるため、ネットワーク障害への 対応を的確にすばやく行うことが可能である。また、アクセス状況のログなどを分析することで、 不正アクセスが発生した場合に、その原因分析を可能とするばかりか、ログを収集しているこ と自体が、内部者への牽制機能としても働くため、ログ取得の重要性はますます高まってい る。 2.2.2.2. 日本および米国金融機関での日本および米国金融機関での日本および米国金融機関での日本および米国金融機関でのアクセス・ログアクセス・ログアクセス・ログアクセス・ログ取得のガイドライン取得のガイドライン取得のガイドライン取得のガイドライン ■ 金融機関においては、その公共性から、一層厳格な安全対策が要求される。日本国内の金 融機関は、1984 年 11 月、大蔵省(現金融庁)の許可を得て、金融機関、保険会社、証券会 社、コンピュータメーカー、情報処理会社等の出捐によって設立された財団法人金融情報シ ステムセンター(略称;FISC、The Center for Financial Industry Information Systems)の定める、 「金融機関等コンピュータシステムの安全対策基準(以下FISC安全対策基準)」を遵守するこ とが期待されている。なお、金融庁の検査マニュアルにおいても、「システムリスク管理態勢の 確認検査において、管理態勢に問題が見られ、さらに深く業務の具体的検証をすることが必 要と認められる場合には、検査官は、FISC安全対策基準等に基づき検査を実施する」と定め られており、実質的な金融庁ガイドラインとされている。 ■ 更に、対象領域としては、金融機関のコンピュータシステムについて、設備面、運用面および 技術面から安全対策について記述されており、顧客データを扱うコンピュータシステムがあげ られている。したがって、顧客リストのほか、顧客情報へのアクセスも対象となっており、2005
  2. 2. 2 年 4 月 1 日の、個人情報保護法(個人情報の保護に関する法律)の全面施行により、いっそう、 厳しく管理を求められることになった。 ■ 具体的な記録方法としては、FISC 運用基準 22 条に規定されている。 運 22 オペレーションの記録、確認を行うこと。 オペレーションの正当性を検証するため、オペレーションの記録、確認を行うこと。 1. オペレーションの正当性を確保するため、オペレーション実行時の運行状況を確認するとともに、依頼され たオペレーションが指示どおり処理されたことを確認できるよう、オペレーション記録を残すことが必要である。 2. オペレーション記録の具体的事例として、以下のようなものがある。 (1) 運行状況を確認するチェックリストを作成する。 運行状況を確認するチェックリストとして、以下のようなものが考えられる。 ① オペレーション実施記録 ② オペレーション予定・実績比較表 ③ オペレーション進捗状況表 (2) オペレータ交替時の未処理、重複処理を防止するため、オペレーションを引き継ぐときの引継事項を明確 にする。 引継事項としては、以下のようなものがある。 ① ジョブ処理状況 ② 障害発生状況 ③ その他連絡事項 (3) オペレーション記録を残し、オペレーション結果を検証する体制を明確にする。 オペレーション結果の検証方法としては、以下のようなものがある。 ① 運行状況チェックリストによる確認、検証 ② 自動運行確認リストによる確認、検証 ③ 処理レコード件数の確認 なお、確認、検証時に重大な不備等を発見した場合、オペレータを統括する担当責任者は速やかに運用 管理部門の責任者に報告することが必要である。 ■ 更に、運用基準 40 条において、取引の操作内容の記録・検証が定義付けられており、コマン ド操作の内容が、記録することが必要となる。 運 40 取引の操作内容を記録・検証すること。
  3. 3. 3 端末機操作による不正取引を防止するため、取引明細表、端末機操作記録等により、取引内容が検証できる 体制を整備すること。 1. 取引内容等が記録された端末機のジャーナル、センターから還元される取引明細表等を使用 した検証方法を定めておくことが必要である。 2. 具体的事例としては、以下のようなものがある。 (1) 端末機操作者等を記録する措置を講ずる。 端末機操作記録等に記録する内容として、取引内容のほか以下のような項目が考えられる。 ① 端末機操作者 ② 端末番号 ③ 処理通番 ④ 処理時刻 端末機操作記録等とは、営業店における伝票、端末機のジャーナル、コンピュータセンター および営業店におけるジャーナルファイルなどが考えられる。 なお、端末機から入力された取引の正当性を検証するため、取引通番の管理を行うことが 考えられる。 (2) 異例取引は取引記録を当該取引権限保持者が検証する。 検証の方法としては、以下のような方法がある。【技 47】参照 ① 還元帳票による方法 ② オンライン照会による方法 ③ モニター専用(指定)端末による方法 (3) 端末機操作記録等の保存期間を定め保存する。 ■ 「取引」の対象が、融資実行、預金、や送金など金融トランザクションを示すものと思われ、そ の他の社内オペレーションに対する記録の保持については、今のところ明確な規定はない。 しかしながら、2005 年 4 月の個人情報保護法の全面施行により、個人情報も金融トランザク ションと同等の、重要情報として取り扱いされることになったことで、金融機関はきちんとその 取り扱い状況について、操作情報なども保存することが望ましいと考えられる。 ■ 一方、米国における、法規制へのコンプライアンス対応という観点から見ると、重要顧客情報 に対する社内のアクセス・ログ取得は必須のものとなっている。そもそもFISCは、日本のガイ ドラインであり、対応を銘打っている米国システムは少ないが、ネットワーク管理ソフト関連で の、コンプライアンス、セキュリティ対策の業法・ガイドラインとして挙げられるのは、 -GLB法(グラム・リーチ・ブライリー法)
  4. 4. 4 -SOX法(サーベンス・オックスレー法) - FFIEC(連邦金融機関検査協議会)ガイドライン - Basel II(新 BIS 規制) などがあり、多くの規制が整備されている。また、VISA、Amex、Discover、MasterCard が定め た、PCI(Payment Card Industry)というカード業界向けのもの、医療業界向けの HIPAA、など がある。 ①GLBA(グラム・リーチ・ブライリー)法対策 これまで銀行は、1933 年に制定された銀行法(グラス・スティーガル法)によって、証券業との 兼業を禁止されていたが、1999 年、66 年ぶりに制定された改正銀行法である GLB 法(GLB Financial Services Modernization Act)の制定によって、銀行・証券・保険の垣根を取り払って 広範囲にわたる金融サービスを実行することが可能となった。一方、このことは、銀行が他の 金融会社と顧客情報を共有する可能性が出てくるため、その個人データの保護の取り扱いに ついて改善することが必要となった。 法律では、顧客が拒否すれば、金融機関は、顧客の個人データを系列以外の金融会社と共 有するプログラムから削除することを命じられている。第 501b 条によって、金融機関は、顧客 情報の管理と機密性を確実にするために、予防措置を確立しなければならなくなった。情報シ ステムに関しては、機密性を保護するために、情報システムが顧客情報の機密性をゆるがす 脅威またはリスクから、保護されているようにしなければならない。そして、脅威とリスクから 保護するよう、きちんと統制が働いているということを外部に証明しなければならない。その上、 情報システムは、権限を持たない者からの顧客情報に対するアクセスまたは使用から保護し なければならない。したがって、情報システムでの顧客情報の機密保護対策は非常に重要な ポイントとなる。日本では、個人情報保護法が相当すると思われる。 ②サーベーンズ-オックスレー(Sarbanes-Oxley、SOX)法対策 エンロン、ワールドコムという上場企業が起こした粉飾行為が社会問題となり、その反省から、 2002 年に米国企業改革法(Sarbanes-Oxley Act)が制定された。企業の CEO、CFO や公認会 計士に対して、投資家に開示した情報の正確性を保障することを要求するもので、財務諸表 のみならず、企業活動全般に関わる活動の記録を詳細に管理・保管することが急務となっ た。 SOX 法第 404 条(内部管理コンプライアンスのプロセスの確立)において、公開企業は、社外 監査役、内部監査役、監査法人からの助言に応じなければならない。第 302 条と第 404 条は、 財務ディスクローズ資料を提出するのに用いられる情報の統制の効果を増すために、セキュ リティのモニタリングを行うことを経営陣に要求している。さらに、ドキュメントで管理され正確
  5. 5. 5 さを保証することを要求している。日本版 SOX 法が対応すると思われる。 ■ こうした要件に企業が対応するための 5 つのステップを、米 Gartner が提唱している。 ①自社が行っていることの把握、②文書化、③ISO1799/BS7799 などのベースラインを設定、 ④アイデンティティ管理や変更管理、ツールなどを用いた重要データの保護、⑤監査を強化 このため、重要顧客情報に関しては、その取り扱い状況もきちんと管理することが必要であ る。 ■ しかしながら、これら法律への対応可能と銘打ったものが、全ての要件をカバーするというこ とではなく、必要とされる仕様に対し、さまざまな機能を持つシステムを組み合わせて導入す ることが必要であることを注意しなければならない。 3.3.3.3.ネットワーク管理・セキュリティ対策におけるネットワーク管理・セキュリティ対策におけるネットワーク管理・セキュリティ対策におけるネットワーク管理・セキュリティ対策におけるログ情報ログ情報ログ情報ログ情報の位置づけの位置づけの位置づけの位置づけ((((SNMPSNMPSNMPSNMP との対との対との対との対 比)比)比)比) ■ ネットワーク管理やセキュリティ対策を行うシステムにおける、管理・対策を講じるための主要 な情報ソースとして、SNMP 及びシステムログ(syslog)の2つが挙げられる。それらを使うこと で、ネットワークの利用状況の分析を行ったり、トランザクションの状況、エラー情報や不正行 為のおそれのある取引に基づきアラームを出したり、分析レポーティングの出力を行ったりす ることができる。 ■ SNMP(Simple Network Management Protocol)は、TCP/IP ネットワークにおいて、ルータやサ ーバー、端末など、ネットワークに接続された通信機器をネットワーク経由で監視・制御するた めのプロトコルである。近年、ネットワークシステム管理の重要度が認知されるにつれ、SNMP によって実現するシステム管理ツールが注目を集めている。制御の対象となる機器は MIB と 呼ばれる管理情報データベースを持っており、管理を行なう機器は対象機器の MIB(SNMP で 管理されるネットワーク機器が、自分の状態を外部に知らせるために公開する情報のことで ある。)に基づいて適切な設定を行なう。SNMP は個々の端末の監視ではなく、ネットワーク全 体の監視に用いられる。パケットベースでのトラフィック量や、回線の帯域幅、ルータやサーバ などの CPU の稼働率などの情報を取得することが可能であり、ネットワーク全体の利用状況 を把握し、大きな負荷のかかっている時間帯、エラーを生じている箇所などを特定し、迅速に 対策を講じるために有効である。 ■ 一方、syslog は、UNIX の機能の一つで、システムで発生したイベントや情報等をシステムのメ ッセージとして表示・記録されるものである。Apache など他のソフトによって取得することも可
  6. 6. 6 能であるが、ほとんどの UNIX で標準的に使用でき、通常は syslog を使ってログを取得するこ とになる。 ■ システム・ログは、出力されるメッセージの内容や用途に応じて、以下のような種類のものが 別々のファイルに記録される。UNIX のログや多くのソフトウェアが出力するログは、そのほと んどが syslog を経由していることから、Syslog を取得することで入手が可能である。 ■ 主要なシステム・ログ ファイル名 ログの用途 主な格納先 格納タイプ Utmp 現在のユーザ情報を記録 /var/run バイナリ Wtmp ユーザのログインの履歴を記録 /var/log バイナリ アクセス・ログ Lastlog ユーザの最終ログイン日時を記録 /var/log バイナリ .history コマンド実行を記録(csh、tch) 各ユーザのホー ムディレクトリ テキスト .sh_history コマンド実行を記録(bash) 各ユーザのホー ムディレクトリ テキスト コマンド実行 ログ .bash_history コマンド実行記録(ksh) 各ユーザのホー ムディレクトリ テキスト Cron 定期的に実行される処理 cron の実 行結果を保存 /var/log テキスト Maillog メール関連 /var/log テキスト Messages システムメッセージ、各種ソフト /var/log テキスト Secure セキュリティ関連 /var/log テキスト Xferlog ftp 関連 /var/log テキスト その他 spooler 印刷やニュース関連 /var/log テキスト ■ syslog は、上記のように、SNMP とは異なり、サーバーに対し、誰が(Who)、何に対して (Where)、いつ(When)、何をしたのか(What)、個別ユーザーによる、(端末や)サーバのアク セス状況やコマンド実行履歴など、細かな情報が取得できるため、ユーザー単位での情報収 集・分析のためには、syslog を取得するシステムが有効である。 ■ 企業のネットワークシステムへの攻撃者(社内外の)は、不正侵入をネットワーク管理者に気づ かれないようにするために、対象サーバ上のログから、侵入の痕跡を消すことを考える。その ために、ログファイルの削除ないしは、一部改ざんをしようと試みる。削除は管理者に気付か れる可能性が高くなるので、後者の、攻撃者自身に関する痕跡のみ改ざんすることが多い。
  7. 7. 7 痕跡が残るログファイルとしては、「アクセス・ログ」と「コマンド実行ログ」が挙げられ、不正侵 入に対処するためには、それらを取得し管理・分析することが重要である。 ■ コマンド実行ログとは、ユーザが実行したコマンドを記録するヒストリ機能であり、もともとは、 ユーザが過去実行したコマンドを再び呼び出すために利用されるものである。各ヒストリファイ ルは、テキストファイルとして保存されているので、それ自身は容易に改ざんが可能である。 そのため、対象サーバ上にあるログを消去されたり、改ざんされるのを防止するには、別のロ グ収集専用サーバ(ログサーバー)を立て、ログが作成された時点で即座にそちらに転送する ことが必要である。更に、ログサーバ自身のセキュリティを十分に確保すると同時に、その情 報は暗号化するなどして、より一層、容易には改ざんできない仕組みを作る事が求められる。
  8. 8. 8 4444....アクセス・ログアクセス・ログアクセス・ログアクセス・ログ記録関連システム記録関連システム記録関連システム記録関連システム概観概観概観概観 ネットワーク管理及びセキュリティを監視する関連システムは、以下のマトリックスで整理できる。 機能に合わせて、米国における代表的なものをピックアップした。 System Administrator 系システム Security 系システム 主たる目的 システム管理 セキュリティ対応 システム総称 Network Management (Web) Application Management Network Security (Web) App Security Point Solution ネットワーク レイヤ 1-3or4 層 When, Where は判別 可。 4-7 層 What は閲覧した内 容までチェック可。 1-3or4 層 When, Where は判別可。 4-7 層 What は閲覧した内容 までチェック可。 Symantec 他 MS Internet Security and Acceleration Server 多 機 能 大型 Network 管理ソフト(SNMP 主体でネッ トワーク全体のトラフィック管理を行う) IBM TivoliIBM TivoliIBM TivoliIBM Tivoli HP Open View CA Unicenter BMC Patrol Murcury Interactive Sun Java Manager MS Exchange SIM(syslog 主体のセキュリティ監視) ArcSight Micromuse(GuardedNet) Intellitactics Check Point Intelligence Real Time ( 監 視 系) 専 用 eHealth(Concord) LogLogic Network Intelligence (LogSmart) Proactivenet Securecognition AppSecInc Net Centinues Teros Cenzic SEM(セキュリティ機器の管 理システム) LogLogic Network Intelligence (LogSmart) Proactivenet Securecognition Sigabar PostX Forensic (分析系) Symantec Net IQ Vision Net Addamark netForensics Symantec Net IQ Niksun Symantec Net IQ Vision Net Addamark netForensics Symantec Net IQ Niksun Service Provider Keynote Qualys
  9. 9. 9 ■ たとえば、IBM 社の Tivoli は、大型 Network 管理システムであり、元々は社内の大規模なネッ トワーク全体のトラフィックや性能の管理、障害の監視を行うために利用されるものである。そ のため主たるデータとして SNMP を取得している。競合する商品としては、HP Open View、CA Unicenter、BMC Patrol、Murcury Interactive、Sun Java Manager、MS Exchange などが挙げ られる。これら、Network 管理システムついては、多機能であることから、全て syslog 取得も可 能であるため、アクセス・ログ記録の機能も有する。しかしながら、所有する機能のうちの大半 が、SNMP を主体に大規模ネットワークから情報を取得し管理することであり、アクセス・ログ 管理のためだけには、ほとんど不要なものと思われる。そのため、金額的には非常に高価な ものである(Tivoli では 1 億円以上)。 ■ もし、ユーザが、オペレータが閲覧した内容までチェックを行いたいならば、ネットワークレイヤ ーの上位層の情報を取得する、(Web) Application Management システムなどを補完的に用 いることが必要となる。ちなみに、Web Application Management システムは、文字どおり Web Application を対象とするシステムであり、既に Web サービスを利用しているのであれば、不要 と思われる。 ■ セキュリティ系は、セキュリティを主体に管理するものであるが、syslog をチェックするものであ るため、この分野のソフトを採用することも可能である。しかし最近では、セキュリティ系とネッ トワーク管理系の境はなくなっており、同じシステムがどちらにも属するものと思われた。 ■ Forensic 系は、ログ分析を主体とするソフトで、問題が発生したときにデータを早く分析できる のが特徴であり、これも対象として考えられる。ただし、Real Time 系と Forensic 系の境は明確 ではない。 ■ モニタリングとログ取得は目的が異なり、モニタリングはリアルタイム性を要求される。金融業 界では、証券・為替のような相場に関与する業務においては必須。モニタリングシステムにも 最近は、おおむねセキュリティ機能がついており、モニタリングシステムを採用するは可能。 ■ その他、ネットワーク機器の Juniper Networks ジェニパーネットワークスが、セキュリティパー トナーとして、ネットワーク管理ソフト、セキュリティシステムとして取り上げているのは以下で ある。このうちセキュリティ管理・レポートベンダーと称しているものが、対象となると考えられ る。 ・ AAA(認証・許可・監査)ベンダー-Funk Software、Infoblox、Computer Associates (Netegrity)、Nominum、Oracle、RSA ・ コンテンツ管理ベンダー-SurfControl、Websense
  10. 10. 10 ・ エンドポイント・セキュリティ・ベンダー-Computer Associates(Pest Patrol)、eEye、 Elemental Security、InfoExpress、iPASS、ISS、McAfee、Shavlik、SurfControl、Symantec (Sygate)、Tenebril、VMware、Webroot、Whole Security(Symantec) ・ セ キ ュ リ テ ィ ・ イ ベ ン ト 管 理 ・ レ ポ ー ト ベ ン ダ ー - ArcSight 、 LogLogic 、 Micromuse (GuardedNet)、netForensics、Network Intelligence、NWG Technologies、Q1Labs ■ アクセスログを管理するという目的ならば、SIM 製品(セキュリティ情報システム、表の黄色の 網掛け)及び SEM(セキュリティ・イベント管理システム、表の青の網掛け)が相当すると思わ れる。SIM と SEM の定義はまちまちで、更にそれぞれが機能的に重なるために、明確な区分 はない。SIMはネットワーク全体におけるセキュリティ管理システムであり、SEMは個々のセキ ュリティ機器をまとめて管理するシステムと位置づけられる。SEM ソフトウエアは、ファイアウ オール、IDS、サーバーなどのセキュリティ機器からデータを集め、データの分析や処理状況 の確認を行うための製品と定義づけられている。SIM/SEM 製品を用いることで、セキュリティ に関し、適切な対応を実行するのに役立つ。SIM/SEM は、IBM Tivoli や HP Open View など の高価な大規模ネットワーク管理ソフトに対し、セキュリティ面での機能を補完する管理ソフト と言える。この分野では、ArcSight、Intelitactics、GardedNet が有名である。日本では、住商 情報システムがサポートする ArcSight が SIM でのトップシェアであり、既に、金融機関での実 績もある。 5555.ネットワーク.ネットワーク.ネットワーク.ネットワーク管理システム管理システム管理システム管理システムを取り巻く米国を取り巻く米国を取り巻く米国を取り巻く米国の環境の環境の環境の環境及び日本及び日本及び日本及び日本の環境の環境の環境の環境 ■ 最近の傾向として、ルータやゲートウェイ、スイッチングハブなどのネットワーク機器とセキュリ ティソフトとの融合が進んでいる。ネットワーク機器は、従来からフィルタリングなどの基本的 なセキュリティ機能は有していたが、大量の CPU リソースを使うため、両者を一体化すること は得策ではなかった。しかし、今日では、ネットワークの帯域の拡大と、CPU やメモリなどハー ドの高速化、価格低下化が進んでおり、ネットワーク機器と、セキュリティシステムの両者を融 合することが可能となってきた。米国のネットワーク機器メーカの動きを見ても、Juniper Networks がセキュリティソフト会社の NetScreen Technologies 社を 40 億ドル近い額で買収す るなど、よりセキュリティを重視した戦略をとっている。今後数年にわたり、システム監視シス テムには、セキュリティ機能を持つ、システムが追加されることになると思われるが、最終的に は、ネットワーク管理システムが、従来の管理機能とセキュリティ・コンプライアンスの機能な ど全てを包含して、ソリューションを提供することになることが予想されている。従来から管理 ソフトを手がける、Tivoli、Computer Associates、Symantec は早くから市場に参入しリードして いるが、ネットワーク大手の Cisco、ネットワーク管理ソフトメーカーの System Management Arts、Micromuse、ArcSight、Intellitactics、Network Intelligence などの新興企業も参加し、こ の分野でのシェアを獲得しようと、しのぎを削っている。
  11. 11. 11 ■ 米 Forrester Research は、セキュリティ機器などからの情報を収集/分析するセキュリティ・イ ベント管理(SEM)ソフトウエアに関する調査を行った。それによると、SEM ベンダーはそれぞ れまったく異なる手法やアーキテクチャを採用しており、さまざまな種類の OS、アプリケーショ ン、セキュリティ機能、ネットワーク全体からセキュリティ・イベント情報を集められる包括的な 単一製品は存在しないという。 Forrester 社が、調査した製品は、以下の 6 社で、この分野の 代表的なものと思われる。 ・米 ArcSight の「ArcSight 2.5」 ・米 Consul の「InSight Security Manager 5.0」 ・米 VeriSign 傘下の米 GuardedNet の「neuSECURE 2.0」 ・米 netForensics の「netForensics v3.1.1」 ・米 Network Intelligence の「engine running enVision version 2.003」 ・米 Symantec の「Incident Manager 3.0」 Forrester 社が評価したところ、ユーザーの希望にかなう可能性のある補完的な製品は 1 つ または 2 つ存在するが、「法規制順守レポートの必要性、使いやすさと処理能力、導入時期 などについてよく検討する必要がある」と指摘する。更に、「こうした製品を購入しても,セキュ リティの問題を克服するまでには、脆弱性・パッチ管理や侵入防止用のシステムにも相当額 の投資をすることになる」ということである。 ■ また、米Gartnerの調査によると、セキュリティ情報システム(SIM)およびセキュリティ・イベント 管理システム(SEM)の市場はまだ比較的小規模で、導入規模や年間売上高においても突出 したベンダーがいない、分散した状態であるということである。しかしながら、近年のネットワー クシステム管理の重要度が認知されるにつれ、SNMP やsyslogを使ったシステム管理ツール が注目を集めており、特に、99 年の GLB 法、2002 年の SOX 法やなどコンプライアンス対策の 動きによって、近年、数百億円の市場になっているようである。まだまだ、多くの小さな企業が 存在するが、今後、市場が拡大するにしたがって、同市場はこれから整理統合に向かうと、 Gartner 社は予測している。日本では、ユーザ側にコンプライアンス対応について認識があま りなかったことから、これまで取り組みが遅れていたが、2005 年の個人情報保護法の前面施 行、2008 年に日本版 SOX 法の施行が決定されたことに伴い、次第に関心が高まってきつつ ある。 ■ 大手商社や専門技術商社などでは、上記の動きに合わせて、既に米国の現地法人などから 投資をしていた関連分野でのベンチャー企業や、新たに提携先を見つけて、日本導入を進め ている。2006 年以降、日本での発売が増えるものと見込まれる。大手商社では住商情報シス
  12. 12. 12 テム(住友商事)がもっとも積極的に手がけており、米国で実績のある ArcSight を導入済みで、 日本国内銀行向けの実績があり、圧倒的なシェアを誇るものと思われる。ジェトロニクスは NetworIntelligence、テリロジーは netForensics、日商エレクロトニクス(双日)は Proactivenet を最近導入した。また、伊藤忠テクノサイエンス(伊藤忠商事)は Loglogic、三井コムテック(三 井物産)もいくつか検討を行っており、2006 年にリリースの予定である。なお、丸紅ソリューシ ョン(丸紅)は、約 1 年前にこの分野についてのリサーチをかけ、米国で実績のある NetworkIntelligence の採用を本社に伺いを立てた。しかしながら、社内では、元々SNMP 系の ソリューションに注力していたことから、syslog 系の管理ソフトである本件は採用に到らなかっ た模様。ネットワンシステム(三菱商事系列)でも、もともとネットワーク機器に強く、SIM ソフト にはあまり力を入れていない模様である。ベンダー自身の M&A の動きが活発になっており、 GardedNet がセキュリティベンダーである Micromuse に 2005 年 7 月に買収された。2005 年 12 月に、今度は Micromuse が IBM に買収された。IBM は出遅れていた SIM/SEM 分野で、 M&A にて巻き返しを図る戦略に出た。総括すると、金融系で実績があり、日本でも代理店を 有するシステムはこれまで少なかったが、2006 年度以降日本でも市場が立ち上がるのを見 越して、各商社・ベンダーは準備中である。 6.6.6.6. 実際の実際の実際の実際のデータログ取得の運用データログ取得の運用データログ取得の運用データログ取得の運用システム導入の考察システム導入の考察システム導入の考察システム導入の考察 ■ 「金融機関などでの業務システム利用における、ユーザ(システム管理者、オペレータ)毎の 利用履歴を監査すること」を目的として、どんなシステムが最適か、その適応可能性を考察し た。 ■ 背景 金融機関などでは、顧客サービスの一環としてウェブサービスを利用しているが、情報漏えい 防止等、コンプライアンス対策として、システム部員、システム管理者の日常業務のアクセス・ ログを取得し、管理する必要性がある。現在大規模ネットワーク用監視ソフトである I 社の Tivoli Access Manager を利用して行っている。様々な要因でリプレースを検討しており、低 コストで最適なものを探している。現状のシステムはアクセス・ログ取得程度しか使っておらず、 オーバースペックであり、より低価格で最適なものを求めている。製品条件としては下記の要 件が必須。 ・日本での FISC の安全対策基準を満たしていること ・ユーザごとに、どのコマンドを使ったかを記録できること ・記録が改ざんできないこと ・root 権限を禁止できること ・米国での金融系で実績があること(GLB 法の Safe Guard を満たすなど)
  13. 13. 13 ・日本でのサポートがあること ・UNIX 上で動作すること ・RADIUS 認証サーバ等と連動すれば、尚良い(必須ではない) ・価格は安いに越したことはないが 2、3 年でつぶれてしまうようなベンチャーでも困る。 ■ FISC の運用基準に従い、どのオペレータがアクセスしたかオペレーションの管理・記録の個 人の特定が必要というニーズに対しては、「クライアント(銀行のオペレーター)が、社内のサ ーバを通じて、社外にあるホスティングサービスに、VPN を通じてバッチ処理で POP などによ りデータを取得している」ものと考えられる。また、本件に関わる社内のシステム構成としては、 サーバが数台程度のシステム構成であるということであれば、主たる用途としてはホスティン グサービスとの接続専用のアプリケーションが搭載されたネットワークシステムと考えられる。 ■ ホスティングサービスとの接続専用システムが、企業の情報系システムにどのようにリンクし ているのか不明ではあるが、ユーザが「現在使われている I 社の Tivoli Access Manager Ver 3.71 のような大規模ネットワーク管理全体に使われるソフトがオーバースペックと考え、それ に代わるアクセス・ログ取得に特化したソフトを要望している」ことから、大規模ネットワーク管 理ソフトは別途情報系システムにインストール済みで、今回のシステムには不要であるという 前提で、調査を進めた。 ■ ネットワーク管理ソフト系の場合、サーバ側に業務システムが搭載されており、その業務シス テムを介してさまざまな操作を行う場合には、アクセス・ログを取得することは可能であるが、 クライアント(PC)がサーバ経由以外の操作を行う場合に、クライアントでのコマンドのログを どうやってとるかがポイントとなる。その場合には、①セキュリティ・管理ソフトの Agent ソフトを PC 側にインストールする、②Agent レスのシステムを導入、③Thin Client-Server とし、クライ アント側での操作を不要とし、Agent ソフトのインストールを不要とする。などの対策がある。 ■ ログサーバの働きは、①各クライアントからログを回収する、②キーワードでソートをかける、 の2つの働きを行う必要があると思われる。オペレータの操作については、名前をキーワード として、関連するログを収集する。SIM では、ログをユーザーのアクセスを IP の中から、リアル タイムでアクセスし、ログを取得する。この場合には、ポリシーに反するアクセス権を有さない オペレータからのアクセスがあったときには、アラームを発するなどの機能も有する。通知と DB チェックを行うものであるが、履歴も取り、個別のアプリケーションへのアクセス状況も統計 で可視できるようにしたものが提供されている。 ■ クライアント(PC)がどのアプリケーションのどのコマンドを操作したかわかるためには、ログ収 集ソフトのエージェントソフトをクライアント側にインストールすることが必要である。クライアン
  14. 14. 14 トにもエージェントを入れるタイプでは、クライアントの作業についてもログを残す設定をしてい れば、サーバ側でログを収集し、分析することができる。ただし、クライアントでどんなアプリケ ーションを動かしどんなログを取っているかによって、コマンドまで記録が取れるかどうかは変 わる。金融機関では、独自にソフトを作りこんでいる可能性があり、ログを吐き出せるかどうか は不明である。 ■ 処理が重いことの理由として考えられるのは、単にハードウエアの問題だけではなく、処理方 法にも原因が考えられる。ネットワーク上のフローを、全て、直接大規模ネットワーク管理ソフ ト(Tivoli)に投入していることが理由として挙げられる。ログを一つ一つ検索するには、大変な 工数がかかるためである。やり方としては、まずは、一旦ローレベルのソフトを使ってフィルタ リングを行ったのち、Tivoli など大型管理系システムを使うと処理時間が短縮する。 ■ あるいは、Tivoli と機能を完全に処理を分けて、Loglogic や Network Intelligence のようなハー ドをネットワークに取り付けるプラグインプレイタイプのシステムを使うと、ファイヤウォールの ミラーサイトとしてログの検索を行うようにする。全てのパケットを検索する場合には、このタイ プはすばやく、効果を発揮する。 7777....候補先ソフト候補先ソフト候補先ソフト候補先ソフト ■ 米国での実績あるソフトも、もともと市場が小さかったことと、日本版 SOX 法の施行が米国に 比べ 5 年遅れていることから、日本に導入されていないものが多く、対象となる先が少なかっ た。したがって、日本での代理店を有するものを中心に調査した。 ■ その結果、①ArcSightArcSightArcSightArcSight、、、、②②②②NetworkIntelligenceNetworkIntelligenceNetworkIntelligenceNetworkIntelligence、、、、③③③③LogLogLogLogllllogicogicogicogic、、、、④④④④GardedNetGardedNetGardedNetGardedNet が代替製品として 取り上げられる。 ■ このうち、中でも、①ArcSight は米国で金融機関に多数採用され、また、住友商事がもっとも 早くから日本導入に取り組み、東京三菱銀行など、金融機関での実績も出ているなど、No.1 の実績を誇っており、日本での展開に安心感がある。代理店の体制ももっとも充実していると 思われる。もともとは、大型ネットワーク向けのシステムであるが、今回の要件では、最小単 位ですみおおむね 10 百万円ぐらいと思われ、他の製品と比べ金額的にも遜色はない。 ■ 一方、②NetworkIntelligence、③Loglogic はいずれも、ログ収集を目的とした機器(ハード+セ キュリティソフト)として提供されるものである。いずれも、ネットワークに直接接続することで、 プラグインプレイで容易に導入できること、圧縮技術などを用いて長期のログの保存に耐える ことができることから、米国で売れているものである。サーバや PC にエージェントソフトをイン ストールしないことから、クライアント(PC)での操作を記録ができないなど、機能的には若干 限られるところがあるが、補完的にキーロガーなどのソフトをクライアント(PC)側に導入するこ とで対応が可能となる。また、ArcSight と比較した特長として、ログの正規化を行わずに生ロ
  15. 15. 15 グを収集するので、パフォーマンスが高く、コンプライアンス・ニーズにより対応できることが挙 げられる。値段は最低単位 5 百万円ぐらいであるが、冗長性を持たせるため、最低 2 セット導 入することが推奨されており、10 百万円ぐらいである。費用的には ArcSight と変わらない。 Loglogic は、日本での取り扱いはまだ始まっておらず、実績がないのが若干弱い。 ■ ④GuardedNet は、ArcSight と同様のソフトウエアタイプであるが、クライアント(PC)にエージェ ントソフトが不要であるため、ArcSight と大きく異なる。エージェントが不要なため、PC 側のリ ソースを占有することがないため、使い勝手はよい。ただし、これも、キー操作について、不安 があれば、キーロガーを別途導入することが必要である可能性はある。また、2005年12月21 日に IBM が Micromuse を買収したことを発表。GardedNet はわずか半年前に Micromuse に 買収された。M&A が発表されたばかりなので、体制構築はこれからであるが、今後、Tivoli と 統合していくことを発表しており、より細かい顧客ニーズに合わせて必要なシステムを提供し ていくものと思われ、GardedNet も代替品候補として取り上げたい。 ①①①①ArcSightArcSightArcSightArcSight ■ ベンダー ArcSight http://www.arcsight.com ArcSight は、フォーチュン 1000 企業や政府機関にセキュリティ管理ソフトを提供する大手企業 である。 ■ 日本代理店 住商情報システム セキュリティソリューション部 http://www.sse.co.jp/solution/n/security/arcsight.html ■ 概要 基本的には SIM と呼ばれる分野に属する製品であり、今回要望ある要件を越えて、幅広いセ キュリティリスクに対してリアルタイム監視、事故調査、監査という切り口で高度な機能を有す る。 また、リアルタイムのイベント・アグリゲーション機能とネットワーク資産の脆弱性関連情報通 知機能を統合した拡張性の高い相関分析機能により、真の脅威や攻撃を精確に特定し、これ に対処することができるため、セキュリティシステムの防御力、効力および可視性を高めるこ
  16. 16. 16 とができる。 ■ 特徴 ArcSight は大規模ネットワーク向けに開発された、知名度の最も高い SIM/SEM 製品である。 さまざまなネットワーク/セキュリティ機器からのイベントを収集し、相関分析により重大な問題 の発生を検知してアラート通知し、さらにルールを用いて運用作業の自動化を行うことができ るものである。 クラスタ化により、複数のサイトから構成される大規模ネットワークのログを集中管理する。 ArcSight のサポート対象機器は、アクセス管理、アンチウィルス、IDS/IPS、脆弱性スキャナ、 DB、メインフレーム、Windows、Unix、Linux、Web サーバ、ファイアウォール、スイッチ、VPN な ど、121 種類の機器をサポートしている。 ArcSight は、包括的かつ管理の容易なセキュリティソリューションを企業に提供することに専 念している。当社は、セキュリティ担当者やネットワーク管理者がセキュリティ関連イベントを 把握しやすいように正確な情報を提供している。 ■ システム構成 以下コンポーネントで構成される。 ArcSight Agent :サーバやセキュリティデバイスにインストールし、そのログ収集し正規化するソフト ArcSight Manager :Agent が収集・正規化したログを元に、ルールベースで分析するエンジン ArcSight DB :Agent が収集・正規化したログを保存する DB ArcSight Console :ArcSight Manager に対してルールを書き込んだり、レポートをスケジュール したりするユーザーインターフェースを持つソフト Agent は収集する対象のサーバーにインストールしたり、あるいは、Agent サーバーとして別 で立てて、そこに対して Syslog や SNMP でログを吐き出す形になる。 それ以外の Manager, DB, Console はネットワーク上にあれば場所は問わない。 ※Agent, AgentサーバとArcSight Manager,ArcSight DB間は全てSSL暗号化されまる。また、 ArcSight DB 内は独自の暗号化が施されている。
  17. 17. 17 ArcSight の構成図の構成図の構成図の構成図 ■ クライアント要件に対する対応状況 ①日本での FISC の安全対策基準を満たしていること FISC 安全対策基準のアクセス・ログ管理の部分をカバー可能な製品である。最近この部分で ユーザからの要望が多く、FISC 対応だけのために ArcSight を導入するケースもある。 ②ユーザごとに、どのコマンドを使ったかを記録できること アプリケーションのログをとることにより、どのユーザがどのような操作をしたか記録すること が可能である。 まず、アプリケーションサーバーのログがどのように出力されるかにもよるが、ログの中に DB に対する操作内容まで含まれていれば、「いつ誰が何をしたか」を ArcSight が取り込み分析
  18. 18. 18 することが可能である。この場合、ArcSight では、アクセスするオペレータなどのユーザの PC に Agent をいれる必要はない。もしくは、DB に対して Agent を入れることで、SQL コマンドを収 集することが可能である。その場合、Application サーバのログから不審なユーザーが何をし たか、SQL コマンドまで追跡することが可能である。Application サーバーからクライアントユー ザーID 込みで DB に対して情報を送ることができれば、DB からのログだけで、不審ユーザー とその操作を特定することは可能である。 今回の事例では、例えば以下のような行動を定期的にレポート化することができる。 ・ポリシー違反 ①許可されていないユーザによるアクセス ②許可されていないネットワークセグメントからのアクセス ③許可されていない端末からのアクセス ④業務時間外のアクセス ・権限の濫用 ①システムパラメータの変更 ②オブジェクト・パーミッションチェンジ ③ユーザの作成/削除 ④パスワードの変更 ⑤ユーザの有効化/無効化 ・不正と疑わしい振舞い ①ログイン試行の多数発生 ②パスワード誤入力の多数発生 ③ログ記録が改ざんできないこと ArcSight の Agent がログをとった後に、独自の暗号化処理を行っているため、改ざんの危険 性は極めて低い。 ④root 権限を禁止できること SU などのコマンドを監視・検知することが可能である。 ⑤米国での金融系で実績があること(GLB 法の Safe Guard を満たすなど) 世界で 3 番目に大きな金融機関で採用されている。そのほか、Union Bank Of California(東京 三菱系のカリフォルニア現地法人)も採用。日本でもメガバンクが採用しており、現在 FISC 対 応案件が複数走っている。
  19. 19. 19 ⑥日本でのサポートがあること 住商情報システムは日本で SIM システムの構築・運用ノウハウを持つ数少ないベンダーであ り、販売実績は国内 No.1 である。 ⑦UNIX 上で動作すること Solaris 9 上で動作(Manager、Agent) Console は Windows 環境が望まれる。(住商情報システムが日本語化している) ⑧RADIUS 認証サーバ等と連動すれば、尚良い(必須ではない) ArcSight のコンソールでログインする際の Radius 認証サーバとの連動は、今のところ不可 能。 ⑨ベンダーの安定性 ベンチャー企業であるが業界のトップ企業であることもあり業績好調であり問題ないと思われ る。なお住友商事系列の米国 VC である Presidio で、ArcSight に投資を行っており、住友商事 では業績関連の情報も随時チェックしている。 ⑩費用 システムとしてはそれほど安いというものではなく、最小構成でも 1000 万円弱にはなると思わ れる。金融機関であれば複数のシステム、多数のサーバ構成となっている可能性も高く、数 千万単位になる可能性もある。ただし、全社的な監視システムとしては必要な機能を有し、他 にも活用できることから、全社的に FISC 対応を行うことを考えると、高いものではない。今回 対象となるシステムはサーバ数台程度のものであるということから、最小構成で対応が可能と 思われる。もともと大規模ネットワーク向けのシステムであり、オーバースペックである感はあ るものの、必要な機能を満たしており、また、多数の金融での実績があり、代替が可能と思わ れる。 1000 万という費用感はあくまで最小構成であり、監視範囲によるが、今回サーバー数台とい うことであれば、1000 万円という金額は十分に現実的な数字である。今後監視対象を増やし ていき、様々なリスク分析を行うことが可能であるというメリットもある。 【補足】: ①他の Network 管理ソフトとの互換性 ArcSight の機能、対応可能範囲は多岐に渡るため、そもそも ArcSight の全ての機能を使いこ なしているユーザーはいない。そのため、どちらかと言うと、HP の OpenView などの管理系ソ フトと連携して運用されることは多い。また、どちらかと言うとセキュリティのイベントに特化し
  20. 20. 20 たルールが多数入っており、あくまでセキュリティツール、という位置づけになる。HP の Open View との連携では、例えば Open View に ArcSight からアラートを飛ばして OpenView 上に表 示するなどが可能である。 ②運用方法 Console はネットワーク上に設置する PC となる。イメージとしては、あらかじめ設定したルール に対して統計情報がリアルタイムにコンソール上に表示させるイメージであり、都度情報をとり にいくというイメージではない。オペレータの PC にコンソールをインストールして運用すること になる。 また、コンソール画面を Web 経由で閲覧可能な ArcSight Web という製品もあるので、例えば 管理者ではない者がレポートを遠隔もしくは、自分の PC から閲覧したい場合などは、 ArcSight Web のラインセンスを追加で購入する。 ■ コメント 現状、日本で売られている SIM ソフトの中ではもっとも取り扱い実績のあるものである。機能 的には大規模ネットワークのセキュリティ管理に対応していることから、機能が充実しており、 Radius サーバの連携以外は、必要条件をすべて満たしている。米国での金融機関向けの実 績もあり、日本でも東京三菱に導入された実績があること、住商が積極的に取り扱っているこ とから、導入後のメンテナンスなど、日本の金融機関にとって、安心感がある。今回のシステ ムに対しては、最低の 1000 万円の構成ですむことから、コストパフォーマンスも悪くない。 ②②②②Network IntelligenceNetwork IntelligenceNetwork IntelligenceNetwork Intelligence Engine running enEngine running enEngine running enEngine running enVisionVisionVisionVision ■ ベンダー Network Intelligence http://www.network-intelligence.com/ マサチューセッツにある中堅企業で、設立は1996年。100人以上と、業界では最古参。業界初 のロギング装置(logging appliance)、Network Intelligence Engineを開発した。 ■ 日本代理店 ジェトロニクス(最近になって、金融関連のシステムインテグレーションやコンサルを得意
  21. 21. 21 とする当社が、代理店になった。もともと日本オリベッティー)。 ■ 概要 同社はセキュリティおよびネットワーク装置からイベントログ・データを収集、相関させ、企 業や政府機関のネットワークにおけるネットワーク利用状態およびセキュリティポリシーコ ンプライアンス状態に関するアラートおよびレポートを作成することができるネットワークイ ベント管理装置とソフトを提供する。この製品はSIM/SEMに属する製品で、IDSやファイヤウ ォール、サーバ、クライアント、ルータ、スイッチなどデバイス単位のセキュリティ監視に特化せ ず、全てのデバイスからsyslog、OPSEC LEA、Cisco Secure POP、SNMPをNIEと呼ばれる 2U(ラックマウント)のアプライアンスサーバがそれを受け(Get及びReceiveも可)、リアルタイム でログの相関関係の解析とレポーティング、警告を行うセキュリティ合管理システムである。 提供ハードウェア製品にはセキュリティ監視ソフトを内蔵した拡張性のある高密度サーバ 装置であるイベントロギング装置(ハード)Network Intelligence Engineがあり、イベントメッ セージ収集の必要性が高く迅速なデータ分析が必要な大企業向けに設計されている。 ■ 特徴 ・Agentソフトを機器にインストールすることが不要で、直接各デバイスからあらゆるデータ を取得ができる。 ・一つのシステムで分散ネットワークから、データを管理することが可能。 ・セキュリティ事故のみならず、全ての種類のトラフィックを自動的に監視することができ る。 ・NetworkIntelligenceEnterpriseから、コンプライアンスとセキュリティに必要な800以上の レポートを作成することができる。 ・実際のリアルタイムで入手される5つの要因(ベースライン、アセットスコアリング、脆弱 性、事故管理、分類学的)を複合的に用いて、分析を行う。 ・プラグ・アンド・プレイソリューションで、迅速かつ容易にセットアップが可能で、すぐに投 資の効果現れる。 ■システム構成 ソフトウェア製品にはネットワークインフラデバイス、セキュリティデバイス、ホストベース のサーバデバイスなどのネットワーク活動をログデータからチェックし、リアルタイムでの 警告、セキュリティ履歴レポート、セキュリティー・ポリシーを遵守しているかなどの法的解 析など、ネットワークのセキュリティ状態全体像を把握できるエンタープライズ版の enVision softwareと、従業員のネットワーク利用方法やネットワークパフォーマンス状態 に関するレポート機能を持ちファイヤーウォール、ルータ、IDSなどデバイスごとに監視で きるPrivate Iソフトウェアで構成される。
  22. 22. 22 ■ クライアント要件に対する対応状況 ①日本でのFISCの安全対策基準を満たしていること NIEアプライアンスは、Web、DB等のサーバや、ファイアウォール、ルータなどのネットワーク機 器、UNIX、Windows、Solarisのログを収集する機器である。 FISCおよびGLBAの個人情報を扱う関連機器を監視する必要があるという要件に対し、上記 で挙げた機種のログを収集し、異常を検知することが可能である。 しかし、個人情報へのアクセスを監視する必要があるという要件に対し、PC上にエージェント をインストールしないため、PCからの個人情報のアクセス・ログを収集することはできない。た だし、サーバー上で全ての業務処理を行う環境であれば(Thin Clientなど)、問題はないと思 われる。 ②ユーザごとに、どのコマンドを使ったかを記録できること アクセス・ログ取得のログが、サーバ上にログとして残される、あるいはWindowsのイベントロ グとして残されるものであれば、NIEアプライアンスで収集可能である。 ただし、PCでのファイルアクセスや印刷と言ったPC上の操作ログは、InfoTrace、CWAT、 SecurityPlatformなどのようなPC操作ログ収集ツールを使う必要がある。 (ジェトロニクスでは金融機関にこれらの製品とNIC製品との併用を提案している。) ③ログ記録が改ざんできないこと さまざまなデバイスが吐き出すログを、自動的に収集し、暗号化して、圧縮して保存をするた め、改ざんのリスクは少ない。NIE/envision (Network Intelligence Engine running enVision)で は、別途サポート製品で吐き出すログを一括して、セキュアに収集・保管することが可能であ る。 ただし、コマンド・レベルのログをNIE/enVisionが扱うには、これらサポートされた製品のログ として吐き出される必要があるが、それが今回検討のシステムで可能なのかどうかは、今後 詳細な調査は必要。 NIE/enVisionでのログ管理は、生データを暗号化し、変更されないために最適化された方法 でデータを保管し、ログの機密性と完全性(改ざん防止)を維持する。 ④root権限を禁止できること NIEアプライアンスの操作では、柔軟なユーザ管理を行うことができ、ユーザ毎に機器単位(機 器グループ単位)でログおよび分析結果へのアクセス権を変更することができる。 NIEアプライアンスの管理者権限は、NIEアプライアンスを管理する管理者のみが使用するよ うに運用できる。
  23. 23. 23 ⑤米国での金融系で実績があること(GLB法のSafe Guardを満たすなど) E*TRADE, FIfth Third Bank, allfirst, BMO, WSB, HSBC, BANCA DIROMA, KBS, CapitalOne', AMERIQUEST, Banknorth Group, Inc., ColeTaylorBank, AA Credit Union, DTCC, ABP などの 金融機関に導入実績がある。 その他クライアントとして、AirProducts, Alcoa, Allied Machine & Engineering, American Tool Companies, Inc, Arco Grafisk, Bechtel, Black & Decker, Bridgestone / Firestone, Cognis, Epson America, GE, Honeywell, Nordson, Pepsi-Cola, Raytheon,Reed Elsevier, Sony Music Entertainment Australia, Thomson & Thomson, Time Warner, Toro Company, Wausau Insurance, 富士通, など ⑥日本でのサポートがあること 金融システム開発に強いジェトロニクスが、日本代理店を務めている。 ⑦UNIX上で動作すること NIEアプライアンスは、ログ収集分析ソフトが組み込まれた専用ハードウェアなので、動作環 境には依存しない。NIEアプライアンスは、組み込み型Windows2000でインストールされている。 NIEアプライアンスへのアクセスは、ネットワークに接続されたPCのIE等Webブラウザによりリ モートからアクセスする。 ⑧RADIUS認証サーバ等と連動すれば、尚良い(必須ではない) RADIUS認証サーバは通常、ダイアルアップでの認証に使うので、どのような状況なのか分か らないが、enVision 次期版であるV3.1 では LDAP との連携機能が提供される。 ⑨ベンダーの安定性 マサチューセッツにある中堅企業で、設立は1996年と10年の歴史があり、また従業員数100 人以上と、業界では古い方になり、安定的と思われる。これまでに700社以上の企業、政府関 係機関に導入した実績を持つ企業である。2006年以降、日本でのサポートを強化する計画が ある。 ⑩費用 製品は規模により3タイプあるが、ユーザ導入価格は、一番下のモデル(64台までの監視機器 対応可)が約500万円である。冗長構成が必要ならば、費用はほぼ2倍になると思われる。大 規模になれば数千万くらいになると思われる。 ■ 所見
  24. 24. 24 製品力があり成長性の見込めるツールである。製品カテゴリはセキュリティいう意味合いが強 いが、近年ではネットワークマネジメントとセキュリティーマネジメントの垣根が無くなっており、 同ツールは企業のセキュリティ理者のみならず、ネットワーク管理者が導入する可能性が高 いと思われる。当社の製品LogSmartがInformation Security MagazineよりHorizon Award "2003 Information Security Magazine Excellence Awards"受賞(2003年2月)しており、技術力 には定評がある。ArcSightなどの同じカテゴリーの製品(SIEM:Security Information Management/ Security Event)の中で、NIE/enVisionの特徴的なことは、他にログデータの正 規化を行わずに生ログを収集するので、パフォーマンスが高いことと、コンプライアンス・ニー ズにより対応できること。更に、監視対象機器にエージェントソフトを導入する必要がなく、プラ グアンドプレイ的に導入・運用が可能、等があり、使い勝手がよいことが挙げられる。同製品 は独自のアルゴリズムでSyslogを通常の1/30のデータスペースでディスク保存し、最大約2TB のデータ保存が可能な為これも魅力の一つと言える。 ③③③③LoglogicLoglogicLoglogicLoglogic ■ ベンダー Loglogic http://www.loglogic.com/ ロギング装置を提供するシリコンバレーSunnyvale に本社を置くベンチャー企業。 ■ 日本代理店 伊藤忠テクノロジー ■ 特徴 従来のログ管理方法は、それぞれのアプリケーション、サーバ、ネットワークの種類によって、 ログ専用スクリプト作成を行う必要があり、ログ管理開発コスト増大、運用コストが大きかっ た。 また、各アプリケーションに従って、アラーム検知の設定などを行う必要があり、運用コストは 増大する。問題が発生したときには、詳細なログを参照するため、障害の発生したサーバに 直接ログインし、詳細な調査を行う。しかし、ログインできないような障害の場合には、ログの 解析が遅れ、サービスの復旧が遅れる。また、メーカへのログの送付が発生した際にも、各 サーバにログインし、それぞれがサーバより該当のログを抽出する必要があり、時間がかか
  25. 25. 25 る。また、サーバへのログインは、オペレーションミスにつながる恐れがある。更に、サーバへ のログインが頻繁にある場合には、不正なアクセスの発見が目立ちにくい。といった問題があ った。 しかし、Loglogicを用いることにより、複数の機器の見回りすることを削減でき、高価なディスク にログをためる必要がないため、運用コストを削減することができる。また、Agent ソフトが不 要でインストールする必要がない。ログ管理開発コストも削減が可能。オペレーションミスの削 減、セキュリティの向上、障害時に迅速なサービスの復旧が可能である。 ■ システム構成 LoglogicLXとLoglogicStで構成される。LoglogicLXでは90日間のログを保持することができ、 更に LoglogicST にて2TB までログを保持することで長期保存が可能。それを超えるものは NAS サーバに送られる。 ■ クライアント要件に対する対応状況 ①日本での FISC の安全対策基準を満たしていること FISC 安全対策基準のアクセスログ管理の部分をカバー可能な製品である。 ②ユーザごとに、どのコマンドを使ったかを記録できること サーバでアプリケーションのログをとることにより、どのユーザがどのような操作をしたか記録 することが可能である。しかし、Agentをインストールしないため、クライアント側でのコマンドの 記録は取れない。そのためには、別途キーロガーをインストールすることで対応は可能。 ③ログ記録が改ざんできないこと Loglogic自体は、暗号化処理は行わないため、Network Appliance(NetApp)社の暗号 化技術を組み合わせて提案している。Network Appliance(NetApp)社は、ネットワーク型ストレ ージ(NAS:Network Attached Strage)製品を提供している。DECRU 社は、NASサーバに対し て、データを暗号化して保存するスイッチを提供しており、2005 年 6 月にNetApp社に買収さ れた。この組み合わせにより、DECRU 社のスイッチを介して、NetApp 社のストレージにデータ を暗号化して保存することが可能となり、データのセキュリティを保つことができる。 ④root 権限を禁止できること 禁止はできないが、アクセス権限の設定は可能。 ⑤米国での金融系で実績があること(GLB 法の Safe Guard を満たすなど) フィデリティや JP モルガンなど多くの金融機関に採用されている。導入目的としては、近年厳
  26. 26. 26 しくなった内部コンプライアンス対応による。 ⑥日本でのサポートがあること 伊藤忠テクノサイエンスが導入を予定。 ⑦UNIX 上で動作すること システムはハードでネットワークに接続するもので、OS は関係ない。 ⑧RADIUS 認証サーバ等と連動すれば、尚良い(必須ではない) Radius 認証サーバとの連動は、今のところ不可能。 ⑨ベンダーの安定性 ベンチャー企業であるが、伊藤忠が投資を行いサポートを行っている。 ⑩費用 最小構成で 1000 万円程度になると思われる。 ■ 所見 NetworkIntelligence と同タイプのハードで提供されるログ収集装置である。プラグインで操作 できることから、導入が容易であることと、生データを幅広く収集し、データを圧縮して保存す ることから長期間保存できることを特徴としており、保存に力点を置かれたシステムである。ロ グ収集に特化したもので、ネットワーク管理の余分な機能は保有しておらず、検討候補として 挙げた。ただし、機能的には、細かく設定できるわけではなく、不十分な可能性があり、他の システムとの組み合わせを要する可能性あり、更なる技術的な検討が必要であると思われ る。 ④④④④GardedNetGardedNetGardedNetGardedNet Netcool/Netcool/Netcool/Netcool/neuSECUREneuSECUREneuSECUREneuSECURE ■ ベンダー Micromuse www.micromuse.com/
  27. 27. 27 GuardedNet 社は 1999 年に設立された未公開企業。従業員は約 42 人。主要製品の 「neuSECURE」は、一元的なセキュリティ管理,異なるシステム環境のログ収集、リアルタイム の問題検出を可能にし、監査およびコンプライアンス向けレポート機能などを備える。 2005 年 7 月に、業務およびサービスの可用性確保のためのソフトウエアを手がける米 Micromuse によって買収された、した。買収総額は 1620 万ドル。 Micromuse 社はこの買収により、セキュリティ解析、リスク削減、事故管理、コンプライアンス など、急速に関心が高まっている分野に向けた技術の拡充を図る。Micromuse 社は自社のネ ットワーク管理ソフトウエア・スイート「Netcool」と GuardedNet 社の neuSECURE を組み合わせ, セキュリティ情報およびイベント管理市場における地位強化を狙う。 ■ 日本代理店 マイクロミューズ・ジャパン http://www.micromuse.com/int/jp GuardedNet を買収して半年もたたないうちに、米 IBM によって 2005 年 12 月 21 日、米 Micromuse を約 8 億 6500 万ドルで買収されることとが発表された Micromuse 株主および規制 当局の承認を経て、1~3 月期中に買収完了の見通し。 IBM は今回の買収により、Tivoli の IT サービス管理機能強化を図る。Micromuse ソフトと IBM の IT サービス管理技術の組み合わ せにより、IT 環境の複雑性解消、運用経費削減、コンプライアンス対応のための包括的なア プローチを顧客に提供することを予定している。買収完了後は Tivoli ソフト部門内の事業部と して Micromuse を運営。Tivoli および IBM のハードとサービスに Micromuse の技術を取り入れ る。Micromuse の製品は、両社の販売チャネルと IBM ビジネスパートナーを通じて販売する。 ■概要 Micromuse は銀行、通信キャリア、政府機関、小売りなどの企業向けにネットワーク管理ソフト を提供。データに加えて音声とビデオトラフィックにも対応した複雑な IT システムの管理を支 援している。顧客は America Online(AOL)、British Telecom、NTT、米証券取引委員会、 Verizon など世界で約 1800 社。 GuardedNet は主要なセキュリティイベント管理ソフトウェア・プラットフォーム、neuSECURE の 開発社である。同ソフトウェアは様々なセキュリティ機器のイベントデータをリアルタイムで統 合するもので、脅威解析、インシデント調査、応答ツールなどの先端機能のほか、トレンド分 析(trending)や各種規格との適合性(regulatory compliance)に関する詳細レポート機能など を提供する。GuardedNet の製品は政府機関、サービスプロバイダや大手企業で広く利用され ている。 neuSECURE のようなセキュリティ解析ソフトは、増加傾向にありかつ問題が深刻化しつつある セキュリティ・イベントを効果的に管理するために不可欠で、悪質な攻撃や不正なトラフィック
  28. 28. 28 を高い精度で自動的に抑止するインテリジェントなインライン装置も重要となっている。これを 導入することで、ネットワークの稼動状況に対する理解を深め、内外からの攻撃を効果的に 検知・抑止することができるようになる。 ■ 特徴 ・GLBA など各種規制に共通するセキュリティ要件を満たす。 -ログ集約およびストレージ -以下に対するリアルタイムモニタリング •ビジネスリスク(脆弱性) •ポリシー違反(悪用および攻撃) •異常(不審活動) -内部コントロールの存在および有効性に関するレポート -インシデント応答計画 GLBA、FISMA の場合に必要 -顧客通知 •CA 1386 の場合に必要 →自動化は効率的かつ妥当コストによる規制遵守に不可欠 ・今日の分散環境のサポートを容易にするスケーラブルなモジュールアーキテクチャ ・導入と保守を容易にするイベント集約のためのエージェントレスなアプローチ ・統計相関、ルールベース相関、感受性相関、脆弱性相関という相互に補完的な 4 つの技術 を使用したリアルタイムのセキュリティ相関情報 ・インテリジェントなインシデント管理ワークフロー ・統合された調査ツールおよび機能 ・セキュリティデバイス、ネットワークデバイス、ホスト、アプリケーションを含む IT インフラ全体 をカバーするデバイスサポート ・技術者運用効率リスクの軽減規制遵守 ■クライアント要件に対する対応状況 ①日本での FISC の安全対策基準を満たしていること FISC 安全対策基準のアクセス・ログ管理の部分をカバー可能な製品である。 ②ユーザごとに、どのコマンドを使ったかを記録できること アプリケーションのログをとることにより、どのユーザがどのような操作をしたか記録すること が可能である。ただし、エージェントソフトを組み込まないため、クライアント(PC)での操作ロ
  29. 29. 29 グは、キーロガーなど収集ツールを使う必要がある。 ③ログ記録が改ざんできないこと ログ情報は、サーバ上の業務アプリケーションが吐き出すログをリアルタイムで正規化され、 相関分析を行うため、改ざんできないような仕組みとなっている。(代理店に口頭ベースで回 答を得たが、正式には未確認) ④root 権限を禁止できること 細かく権限の設定が可能。(代理店には確認したが、正式には未確認) ⑤米国での金融系で実績があること(GLB 法の Safe Guard を満たすなど) GLBA 準拠監査スコアを向上させるため、インシデント管理手順の追跡、広範囲かつ詳細なレ ポート、監視及び相関機能の自動化を目的として、大手オンライン金融機関向けに、導入実 績あり。 ⑥日本でのサポートがあること Micromuse は、自社の日本現地法人であるマイクロミューズジャパンを設置。 ⑦UNIX 上で動作すること Solaris、Redhat Linux に対応。 ⑧RADIUS 認証サーバ等と連動すれば、尚良い(必須ではない) Radius 認証サーバとの連動は、今のところ不可能。 ⑨ベンダーの安定性 GardedNet 自体は設立 6 年になるベンチャーであったが、野村インターナショナルが投資する など日本の金融界から注目されていた。2005 年 7 月に Micromuse に買収されたのち、 Micromuse 社自身も 2005 年 12 月に IBM に買収されたことで、メンテナンスの体制は申し分な い。IBM 自体、SIM/SEM 分野での有力なシステムを持たなかったことで、遅れを取っていたが、 近年この分野でのラインアップを増やすために Micromuse+GardedNet を買収したものと考え られる。まだ方向性は明確ではないもの、Micromuse 社の情報によると、今後は Tivoli の Network 管理システム部隊に統合され、よりセキュリティに力を入れていくものと見られてい る。 ⑩費用 価格は、最小単位で 500 万円からである。
  30. 30. 30 ■ 所見 GardedNet は米国で有力なソフトのひとつであったが、日本での実績はなかった。2005年 7月 に日本での拠点を持ち Micromuse が買収したことで、Micromuse 自ら販売を開始している。更 に、IBM に買収されたことで、今後は SIM/SEM 市場での協力な営業を進めていくものと思わ れ、来年 4 月以降の動きが期待される。 同じ SIM/SEM ソフトである ArcSight との違いであるが、最大のポイントとしては、さまざまなレ イヤで相関分析を行うことが可能なこと、そのため Agent ソフトが不要となっていることが挙げ られる。そのため、クライアント(PC)のリソースを食わず、使用者の不満が少ない利点がある。 一方で、それがセキュリティの面で不十分と感じるユーザも存在し、好みが分かれるということ であった。ただ、要件については、Radius 認証サーバとの連動以外は全てクリアしているとい う回答ではあったが、GuardedNet を買収したばかりで、これまで取り扱い実績がなかったこと で、マイクロミューズ・ジャパンの技術責任者も商品内容を熟知していないようで、更に、詳細 な調査が必要。 8.8.8.8.その他その他その他その他比較比較比較比較検討したシステム検討したシステム検討したシステム検討したシステム ⑤⑤⑤⑤IBM Tivoli Access ManagerIBM Tivoli Access ManagerIBM Tivoli Access ManagerIBM Tivoli Access Manager ■ ベンダー IBM http://www-06.ibm.com/jp/software/tivoli/ ■ 日本代理店 日本 IBM ほか http://www.ibm.com/jp/ ■ 概要 UNIX/Linux は、クリティカルなアプリケーションの基盤として広く採用されているが、システム へ不正侵入されたときに特権ユーザー(root)権限が悪用される可能性があるため、UNIX の 管理モデルはアクセス管理の面で特有の脆弱性を包含している。
  31. 31. 31 IBM Tivoli Access Manager for Operating Systems は、従来の UNIX 管理モデルのセキュリテ ィーを補強して、UNIX/Linux 環境で動作するアプリケーションに対する階層的なアクセス管理 をサポートする。手間のかかるハードニングを行うことなく、セキュアな UNIX 環境を構築する。 ■ 特徴 不正アクセスのリスクを軽減不正アクセスのリスクを軽減不正アクセスのリスクを軽減不正アクセスのリスクを軽減 「特権ユーザ」による通常の UNIX 管理オペレーションを妨害することなく、重要データに対する未 許可アクセスを遮断する。 ユーザユーザユーザユーザ管理の強化管理の強化管理の強化管理の強化 UNIX 管理者や特権をもつユーザーの通常業務は妨げずに、故意あるいは偶発的な不正侵入に よる特権の悪用を防止する。また、保護対象リソースに対する全ユーザのアクセスを追跡して、シ ステム・ログとは別に独自の監査証跡を取得することができる。 管理コ管理コ管理コ管理コストを削減ストを削減ストを削減ストを削減 サーバやワークステーションの数が増えると、効率的な管理や適切なセキュリティ維持が難しくな り、管理コストが増大してしまう。Tivoli Access Manager for Operating Systems は、UNIX 分散環境 からメインフレーム環境にわたって一貫したセキュリティー・モデルを実装し、管理権限を委譲する ことで効率的なアクセス管理を実現する。異なる UNIX 間でも同一操作で同じセキュリティー・レベ ルが確保できるとともに、管理コストの削減が推進される。 セキュリティー・ポリシーを集中管理セキュリティー・ポリシーを集中管理セキュリティー・ポリシーを集中管理セキュリティー・ポリシーを集中管理 Tivoli Access Manager ファミリー全体のセキュリティーを、共通のセキュリティー・ポリシー・サーバ ーで集中して統合管理できるため、UNIX 環境からその他のアプリケーションまで一貫したセキュ リティー・ポリシーを実装して簡単に一元管理することができる。 ■ 機能 UNIXUNIXUNIXUNIX のアクセス管理機能を補強のアクセス管理機能を補強のアクセス管理機能を補強のアクセス管理機能を補強 Tivoli Access Manager for Operating Systems によるアクセス管理は、特権ユーザー(root)を含む すべてのユーザーに適用され、UNIX の標準的なセキュリティー機能を補強する。システム管理者 は通常の UNIX 管理モデルで提供される権限に加えて、より細かいアクセス管理を行うことができ る。 アクセス履歴を詳細に監査アクセス履歴を詳細に監査アクセス履歴を詳細に監査アクセス履歴を詳細に監査 保護対象リソースに対する詳細なアクセス情報を収集して、リソースのセキュリティー監査を行う。
  32. 32. 32 Tivoli Access Manager for Operating Systems の監査ビューで、監査データのフィルタリングやフォ ーマットが行われる。例えば、ユーザごとのレコードを取り出してカンマ区切りでファイルに保存し、 レポート作成に利用することができる。 サーバサーバサーバサーバ間の渡り歩きを禁止間の渡り歩きを禁止間の渡り歩きを禁止間の渡り歩きを禁止 Tivoli Access Manager for Operating Systems は不正なユーザーが許可されていないサーバーへ ログインすることを防ぐだけでなく、そのサーバーを踏み台とする別のサーバーへの渡り歩きを防 御することができる。そのため、自社サーバが他社サーバへの踏み台に利用されて社会的信用が 失墜するといったリスクを、未然に防ぐことができる。TCP サービスへのノード・ネットワーク単位で 制御できるため、「あるユーザーはサーバーA に telnet ではログインできるが ftp ではできない」と いった、きめ細かな制御が可能になる。 ■ 価格 おそらく、ユーザーニーズに合わせて設定を作りこみするのが必要で、最低単位でも数千万 円から 1 億円程度はかかるという話がある。また、メンテナンスも非常にコストがかかるという ことである。 ■ コメント 銀行業界では圧倒的に強い、非常に強力な管理システムである。クライアントのニーズに合 わせ、何でできる反面、作りこみに手間がかかる。もともとは SNMP を主体とするネットワーク 全体の管理ツールであり、本件の機能としては、ほとんどが不要であり機能的にオーバース ペックと思われる。 ⑥⑥⑥⑥HP Open ViewHP Open ViewHP Open ViewHP Open View Management SoftwareManagement SoftwareManagement SoftwareManagement Software ■ ベンダー HP http://www.managementsoftware.hp.com/ ■ 日本代理店
  33. 33. 33 日商エレクトロニクス他 http://www.nissho-ele.co.jp/ ■ 概要 あらゆるビジネス要素が IT ネットワークに依存しており、その度合いは今後も継続的に増大 すると予想され、構成する機器(サーバ、クライアント、ネットワーク機器、その他)も、同様に 増加していくことが予想される。このような環境において、適切な監視を行わなかった場合、障 害発生時の復旧時間は予想もつかないほどかかる可能性がある。さらに、非効率な運用及 び、不適正な機器購入/監視員の増員など各種 IT 投資がもたらす TCO の拡大につながり、 利益を圧縮してしまう懸念がある。OpenView を使用しない場合、運用エンジニアのスキルに より、復旧までの時間が大きく変わってしまう。OpenView を導入することで、エンジニアスキル によらず、障害切り分け作業が大幅に短縮可能となる。 ■ コメント Tivoli と同等の、ネットワーク管理ソフトである。Tivoli の代替は可能であるが、本来は大規模 ネットワーク用の SNMP を主体とした管理システムであり、オーバースペックと考えられるため、 対象外とした。 ⑦⑦⑦⑦IntellitacticsIntellitacticsIntellitacticsIntellitactics ■ ベンダー Intellitactics http://www.intellitactics.com/ Intellitactics は、カナダのオンタリオ州キッチェナーの企業である。 ■ 日本代理店 ラック セキュリティソリューション部が、当社製品の一部の権利を買い取り販売中である。 http://www.lac.co.jp/business/sns/products/living_policy/index.html ■ 概要
  34. 34. 34 NSM Living Policy(TM) (セキュリティー・ポリシー運用支援ツール) Living Policy(TM)は、Intellitactics 社が提供する NSM(Network Security Manager)製品群を代 表する製品である。セキュリティー・ポリシーを Web コンテンツとして管理することで、「誰もが、 必要なときにいつでも参照することができるセキュリティー・ポリシー」を実現する。各ポリシー に関係した情報資産や脅威のレベル、影響度、コストなど、ポリシーとリスク分析結果を関連 付けて管理する。また、ポリシー変更内容の各ユーザへの通知、ポリシーへの同意状況の管 理、ユーザ毎の権限設定及び開示内容制御など、セキュリティー・ポリシーの管理者、利用者 双方に対して様々な機能を提供する。また、他の NSM 製品と組み合わせて機能を拡張するこ とにより、セキュリティー・ポリシー違反者を発見し、ネットワークの使用を制限することなども 可能である。 ラックでは、日本政府の情報セキュリティ対策推進会議によって策定・発行された「情報セキュ リティー・ポリシーに関するガイドライン」に準拠し、現在情報セキュリティにおける最重要課題 のひとつとなっている、リスク分析、セキュリティー・ポリシーの策定・実装・運用までを一貫し て行うサービス及び製品、そして製品にバンドルされるサンプルセキュリティポリシーの販売 を行っている。ラックは、ネットワークセキュリティの先駆者として、ネットワーク環境における 脆弱性を徹底的に検査する「セキュアネット検査サービス」を日本で最初に開始した。現在ま でに約400サイトの検査実績、約100サイトのセキュアサイト構築実績を持ち、高い評価を 受けている。 ■ コメント 現状、ラックはIntellitactics社の日本代理店であり、Living Policyはラックが権利を買い取って 日本で販売をしているが、その他のIntellitactics社商品は取り扱いをしていない。ラックでは、 今回の要望に合う商品は考えていないということで、当面 Intellitactics の他の商品の取り扱 いの可能性はないと思われる。また、Intellitactics 社は、SIM/SEM 領域の中でも、セキュリテ ィー・ポリシーの策定・管理・実施に特徴があり、個別の機器の吐き出すログの管理・分析は 得意としていないものと思われ、対象外と思われる。 ⑧⑧⑧⑧eHealtheHealtheHealtheHealth
  35. 35. 35 ■ ベンダー Concord 社 http://www.concord.com/ ボストン本社で、CA に買収されて系列会社となった。ネットワークパフォーマンス監視システ ムである eHealth を開発し、日本で銀行ほか 300 ユーザに販売実績がある。NTT など通信キ ャリアなどにも採用された。 ■日本代理店 丸紅ソリューションズ、他 www.msol.co.jp/it/ehealthehealthehealthehealth/ ■特徴 ・ e ヘルスは的確なネットワーク管理を支援する多彩なレポートを自動生成する。 ・ ネットワーク、クライアント、スイッチ、ルータ、サーバ、アプリケーションなど、すべてのス テージをカバーする。 ・ ソフトウェアのみで監視システムを実現する。特殊データ取得用ハードが不要なだけでな く、プラットフォームも WindowsNT や Solaris で稼働し、既存環境へシームレスに導入でき る。 ・ e ヘルスは、ルータスイッチに対する MIB 設定などをあらかじめ設定することで、他のシス テムで要求されるMIBを指定する複雑なオペレーションを排除。据付時にターゲットとする デバイスの IP アドレス範囲を指定し、自動ディスカバーするだけの簡単な操作で、各種レ ポートを日々自動的に生成する監視システムを稼働できる。 ・ 操作の完全自動で管理者のデイリーの煩雑なオペレーションの負荷を大幅に削減する。 -デバイスの自動発見登録 -各ルータへのプライべート MIB の自動アサイン -ネットワーク内のルータスイッチ、サーバからの定期的な MIB データ収集 -データの圧縮不要データの廃棄など付属リレーショナルデータベースの自動保守 -スケジュールによる解析診断レポート作成 -Web やメールによるレポート配布 ・ Ping と SNMP が通る範囲のすべてのネットワーク機器を監視する。メーカやデバイスに特 化せず、かつフレームリレーの論理回線、ATM のパスやチャネルの詳細項目までレポー トする。 ・ レポートの閲覧・作成は Web ブラウザを介して実行。Web のアカウントに対し、閲覧できる レポート種類やネットワークの範囲をはじめ、新たにレポートを作成できるかどうかのアク セス権も設定できる。
  36. 36. 36 ・ 取得データを保存して分析するため、単なる実績データの表示のみならず、傾向から何 時閾値を越えるかという予測も可能である。さらに、他の問題点と比較した問題の重要度 合いの指標(ヘルスインデックス)報告をはじめ、わずかな変化でも初めて起き始めた問 題を指摘するなど、ネットワークパフォーマンスの変化や傾向まで解析し、将来発生する ネットワークトラブルを自動レポートする。 ■ 所見 本件は、日本での販売実績があるが、ネットワークパフォーマンス監視システムと銘打ってい るように、もともと SNMP を用いてネットワーク全体のパフォーマンスを監視するシステムであ る。そのため、こまかな個別オペレータの操作までのログを取得するものではなく、本件のニ ーズに対しては、対象外である。 ⑨⑨⑨⑨netForensicsnetForensicsnetForensicsnetForensics ■ ベンダー netForensics http://www.netforensics.com/ ■ 日本代理店 テリロジー http://www.terilogy.com/product/security/netforensics/index.html 2005 年 9 月末より出荷。 ■ 概要 netForensics は、セキュリティ情報管理(Security Information Management)技術をベースとし ており、多様な機器のログを一元的に管理、相関分析を行い、現状とリスクを把握するシステ ムである。 各OSやデバイスにインストールされるAgentを経由してログを収集し、データベースに格納す
  37. 37. 37 る。専用エンジンにより、さまざまなアルゴリズムを通じて集約した情報の相関分析を行い、そ の結果をコンソールに表示するという仕組みである。 OS のほかファイアウォールや IDS、ウイルス対策ソフトなどが吐き出すログを収集し、その中 から重要なイベントを探し出す作業を人手で行おうとすると、高度なスキルや経験と膨大な時 間が必要となる。これに対し netForensics を利用すれば、50 種類以上に上るさまざまなデバ イスからログを集約し、イベントを洗い出してリアルタイムに攻撃の予兆を検出するといった作 業を容易に行える。同時に、現在のシステムに潜むリスクや脆弱性を把握することも可能であ る。 ■ 特徴 ・ 十分なスキルを持った管理者のいない企業でも、危険性の高いイベントを把握し、リスク 管理を実現できる。 ・ ネットワーク管理ツールなどで見られる 3 階層のアーキテクチャを採用しており、各 OS や デバイスにインストールされ、ログ情報を収集するエージェントと、それらの情報をつき合 わせて相関分析を行うエンジン、その結果を表示するコンソールという 3 つのコンポーネ ントから構成されている。一連のログ情報は、エージェントによって XML 形式で正規化さ れ、暗号化されたうえで Oracle データベースに格納される。 ・ エージェントが対応する製品が幅広く、Windows や UNIX ベースの OS、シスコシステムズ のルータやスイッチ、チェック・ポイントの「Firewall-1」、ISS の「RealSecure」、シマンテック やマカフィー(ネットワーク・アソシエイツ)などのウイルス対策製品などをサポートしてい る。それ以外の製品や独自システムについても、SDK が用意されている。 ・ 同製品の中核であるエンジンでは、こうして収集されたイベント情報とあらかじめ定義さ れたシナリオを比較するほか、統計的な相関分析に基づいて集約、分析する。この 2 つ の方式を併用し、さらに自社の資産価値や重要度を組み合わせることによって、緊急度 の高い攻撃を検出し、電子メールなどで通知する。 ・ 報告されたイベント情報の一覧からは、ドリルダウン形式によって、より詳細な説明にた どり着くことが可能。製品には一種のエキスパートシステムが付属しており、その警告が 意味することと、どう対処すべきか示される。ただ、それを各機器に対しポリシーの形で 配布し、設定を変更するところまでは実現できていない。 ・ 価格は、最小単位で 10 デバイスのログを監視する場合、390 万円である。 ■ 所見 代理店を経由して確認したところ、本件は、Forensics という名称がついているが、高い技術を 持たないネットワーク管理者でも、管理を可能とすることを狙いとして、自動的な分析するとこ ろに力点をおかれて作られたもので、ログ収集に力を入れたものではなく、カバー率や侵入者
  38. 38. 38 に対する改ざんの防御など厳しいと感じるため、対象にはならないということであった。また、 テリロジーは、米国の先進的なネットワーク関連の機器の導入に注力した専門商社(店頭上 場)で、ネットワークにおける専門性は高いが、セキュリティに関しては専門領域ではないとい うことである。 ⑩⑩⑩⑩QualysGuardQualysGuardQualysGuardQualysGuard ■ ベンダー Qualys.Inc http://www.qualys.com/products/qgent/ ■ 日本代理店 ネットシステムズ http://www.netsystems.co.jp/ ■ 概要 QualysGuard は外部からサーバに侵入をシミュレーションすることにより、不正侵入者の立場 から見たネットワークやアプリケーションの脆弱性(セキュリティホールなど)を評価する自動 セキュリティ検査サービスである。QualysGuard が提供するサービスには、QualysScan と QualysMap がある。 ■ 特徴 ・ SSL で通信する Web ブラウザで操作をし、操作は簡単である。 ・ Qualys が保有する脆弱性テスト項目での検査を行う。 ・ 脆弱性テスト項目は日々アップデートされ、常に最新。 ・ スケジュール検査が可能である。

×