IT 管理: Windows Server を監査する
Windows Server のインフラストラクチャを監査する必要はないと考えているかもしれませんが、実際のところ、Windows Server のインフラストラクチャは監査する必要があります。
Tom Kemp
職場では、IT インフラストラクチャの管理とセキュリティ保護が複雑にする多くのビジネスおよびテクノロジに関する動向が見られます。仮想化、モバイル デバイスの急増による "IT のコンシューマライゼーション"、およびクラウド コンピューティングにより、IT 資産は、ファイアウォールの内側から外側に徐々に移行しています。その結果、IT 部門が直接管理できる部分が以前より少なくなっているハイブリッドなデータセンターが増えています。
同時に "新しいオフィス" のモデルも進化しています。モバイル ユーザー、受託業者、およびオフショアによる海外担当者が増えていますが、このようなユーザーもネットワークへのアクセスを必要とします。IT 部門は、より広範なさまざまなユーザーに IT サービスを提供する必要があります。これまでコンピューター機器を使用してこなかった多くのユーザー (看護師や小売店の販売員など) は、生産性を上げるためにコンピューター機器やアプリケーションを使用する必要に迫られています。
ハイブリッド化が進む IT インフラストラクチャに対応する際には、多くの法規制の要件やセキュリティの問題に直面します。会社の機密情報を内外の脅威から保護するため、IT 担当者と IT 部門は、ユーザー、アプリケーション、サーバー、およびデバイスについてエンド ツー エンドの可視性と制御機能が必要になります。
ビジネスを保護しながら、刻々と変化するビジネスの状況に対応できるだけの鋭敏性を維持する必要があります。また、監査担当者のニーズに対応するためにも、このレベルの可視性が必要になります。これまで、このレベルのセキュリティを確保するには、オンプレミスのデバイス、サーバー、およびアプリケーションをロックダウンする必要がありました。現在は、IT 部門の直接的な制御下にない、ファイアウォールの外側にある IT リソースについても同じレベルのセキュリティを確保する必要があります。
Microsoft Windows Server は、主要なサーバー OS で、マイクロソフト、Rackspace US、Amazon.com などのベンダーが提供している Infrastructure as a Service (IaaS) の構成要素として多く展開されています。そのため、オンプレミスとクラウドのどちらに展開されている場合も、ビジネスにとって重要な Windows Server などのシステムを監査することは必要不可欠です。
多くの場合、経営幹部に対して、監査にかかる労力とコストを正当化するのは容易ではありません。システムの詳細な監査は不適切または不要だと考える IT 組織もあります。この記事では、Windows Server を監査すべきビジネス上の主な 3 つの理由を説明します。
法規制の要件
一部の IT 担当者は、業界または政府による法規制が、自分の組織には適用されないと考えていますが、多くの場合、この判断は間違っています。公的な機関で働いていても、クレジット カードによる注文を請けたり、患者の医療情報を保管したりしていれば、あなたの組織は法規制を遵守する必要があります。
すべての業界の企業に対して現在進行形の問題を突き付ける法規制は多数あります。多くの企業は、内部統制 (サーベンス オクスリー法 (SOX))、クレジット カードの支払いに関するデータ セキュリティ (クレジット カード業界のセキュリティ基準 (PCI DSS))、患者の医療情報 (医療保険の携行性と責任に関する法律 (HIPAA))、その他の業界固有の要件 (グラム リーチ ブライリー法 (GBLA)、北米電力信頼度協議会/米国連邦エネルギー規制委員会 (NERC/FERC)、連邦情報セキュリティ マネジメント法/米国標準技術局 (FISMA/NIST SP 800-53)) など、複数の法規制の要件に従う必要があります。
主要な法規制と業界の要求により、ユーザーは、一意な ID を使用して認証することが義務付けられています。また、権利は、職務権限の遂行に必要なものに制限され、ユーザーの活動については、詳細な監査を行い、どのようなイベントが発生し、だれがイベントを実行し、発生したイベントの結果が特定する必要があります。
次にいくつかの法規制とそれに対応する監査の要件を示します。
SOX Section 404 (2): 内部統制に関する構造と会計報告の作成手順の有効性に関する評価を行います。
PCI DSS Section 10.2.1-2: 自動化された監査記録を実装して、すべてのシステム コンポーネントについてユーザーの活動を復元します。クレジット カード保有者のデータに対するすべてのアクセスを検査します。ルートへの権限または管理者権限を持っているユーザーによる、すべての操作を検査します。
HIPAA 164.312(b) Audit Controls: 保護されるべき電子医療情報 (ePHI) を含む、または使用する情報システムで行われた活動を記録して検査するハードウェア、ソフトウェア、または手続きによるメカニズムを実装します。
NIST SP 800-53 (AU-14): 情報システムでは、ユーザー セッションに関連する全コンテンツをキャプチャ/記録して、接続を確立しているユーザーに関連する全コンテンツをリアルタイムでリモートから確認する機能を提供します。
NERC CIP-005-1 R3 (Monitoring Electronic Access): アクセスを監視して記録する自動または手動によるプロセスを実装して文書化します。
内部からの攻撃を軽減する
過去 1 年に大きなニュースとして取り上げられた多くのセキュリティ違反は、外部からの攻撃ではなく、内部からの攻撃に起因しています。データ漏えいやシステム停止を引き起こす内部からの攻撃のリスクを緩和することが、主な関心事です。
アカウントの資格情報の共有、複数のシステムに対応する多数の資格情報を保持している特権ユーザー、ユーザーの職務範囲に対して広すぎる権限を割り当てたりすることなど、内部からの攻撃を増やす要因は、いくつかあります。多くの組織では、特権ユーザーが、地理的に分散しています。このような組織では、ローカルおよびリモートの管理者とユーザーの活動に対する可視性が必要になります。
たとえば、ユーザーの活動を監査すると、セキュリティと法令遵守に必要な説明責任を果たすことができます。
- ユーザーの活動をキャプチャおよび検索して、疑わしい操作を調査し、実際に損害が生じる前に攻撃が行われているかどうかを確認できます。
- 抑止力によって特権ユーザーの行動に変化をもたらしたり、信頼に値する従業員が抜け道を利用しないようにしたり、不満を持っている従業員が悪意のある操作が記録されることを把握するようにできます。
- 法的措置と争論解決において明確な証拠となる記録を作成できます。
内部からの攻撃がなくなることはありません。United States Computer Emergency Readiness Team (US-CERT) が米国財務省検察局の協力を得て作成したレポートでは、コンピューターに対する内部からの攻撃の 86% は、自社のテクノロジ ワーカーによるものだと推定されています。また、このレポートでは、2011 年の CyberSecurity Watch Survey の回答者の 33% が、外部からの攻撃よりも内部からの攻撃の方がコストがかかると答えていることにも言及しています。
サードパーティのアクセス、トラブルシューティング、およびトレーニング
今日のビジネス環境により、企業は、あらゆる経営レベルにおいてコスト効率の良い方法を探すことを強いられています。アウトソース、オフショア、およびクラウド コンピューティングでは、企業が、競争上の優位な立場を維持するために必要なアジリティ、柔軟性、およびコスト管理能力を提供しています。
このような現状があるにもかかわらず、企業は、IT システムのセキュリティと法令遵守に対応する必要があります。新たに改訂された法規制の要件では、ソフトウェア ベンダー、サービス プロバイダー、受託業者と契約を結ぶときに、契約する側の責任が問われることが明示されています。実際、HIPAA の拡張版である Health Information Technology for Economic and Clinical Health Act (HITECH) では、サードパーティの責任に関連する抜け道の 1 つがふさがれています。
サードパーティのユーザーによるアクセスがある場合、監査を実施する必要性は高くなります。内部からの攻撃と法令遵守に加えて、サードパーティによるアクセスは、不調なシステムのトラブルシューティングを迅速に行い、重要なプロセスの文書化を自動で行い、担当者の引継ぎに関するトレーニング手順を策定するというプレッシャーを高める要因になります。これらの事象は、受託業者とサービス プロバイダーとの関係において、より頻繁に発生します。
監査方法
Windows Server インフラストラクチャの監査を正当化できることはおわかりいただけたと思うので、今度は、監査のアプローチと各アプローチの良い点と悪い点を説明しましょう。多くの監査方法では、システムとセキュリティのログ ファイルの収集と集約を行います。
ログ ファイルとセキュリティ イベントの管理システムを提供しているベンダーは多数存在します。ログ管理だけに頼る監査のアプローチには、ログ ファイルでは実際に起こった事象の全体像を把握できないことが多いという欠点があります。多くの場合、大量の重要でないイベントと管理データは、システム障害や攻撃が発生したシステムで実行された特定の操作を実行したユーザーを判別するのには十分ではありません。
ログ ファイルの解析は時間がかかる作業で特別なスキルが必要になります。ログ データは、概要レベルの警告や通知には便利ですが、記録されたイベントは特定のユーザーの操作と関連付けられていません。トラブルシューティングと問題の原因の分析では、セキュリティのベスト プラクティスと法令遵守で必要な説明責任を果たすことはできません。
アプリケーションによっては、内部監査がほとんど (または、まったく) 行われないものもあるので可視性に欠けるという大きな問題もあります。この現象は、自社開発したアプリケーションで多く見られます。監査機能は最優先事項ではなく、開発者は組織の監査のニーズ (必要な監査の詳細レベル、ログ データ自体へのアクセスをセキュリティで保護することの重要性など) を理解していない可能性があります。また、多くのエンタープライズ アプリケーションは、高度なカスタマイズに対応しているので、カスタマイズの結果、重要なイベントがログに記録されなくなるおそれがあります。
2 つ目のアプローチは、ファイルの変更に関する監査です。重要なファイルに対する変更は、給与支払いのシートへの不正なアクセスなど重要なイベントを表していることがあります。HIPAA の 164.312/164.316 や PCI の 11.5 など、一部の法規制では、ファイルの変更履歴を使用することが義務付けられています。これらの法規制では、重要なシステム ファイル、構成ファイル、またはコンテンツ ファイルへの権限のない変更を担当者に通知するファイル統合監視ソフトウェアを展開する必要があることが明記されています。
このアプローチの欠点は、多くの重要なデータがデータベースに格納されており、一般的な OS 固有のファイルの変更履歴の機能では、データベースの変更を検出できないことです。ファイルの変更に関する監査に伴うオーバーヘッドは、コストが非常に高くなることです。
3 つ目の新しいアプローチは、ユーザー レベルの活動を監視することです。ユーザー レベルの活動を監視するソリューションを使用すると、可視性が高まり、ユーザー活動の意図、操作、および結果を明確に理解できるようになります。このアプローチでは、概要レベルの警告を生成し、警告を生成するに至った操作、イベント、およびコマンドに関する詳細なデータを提供できます。
この重要なメタデータは、重要なユーザー中心のデータをキャプチャする以外に収集する方法はありません。このデータをシステムやアプリケーションのログ データから再構築することはできません。このアプローチの欠点は、一元管理されたデータベースに大量のデータをキャプチャする必要があることです。また、他のアプローチと同様に、このアプローチでも追加のインフラストラクチャが必要になる可能性は高くなります。
結論としては、ミッション クリティカルな Windows Server を監査するときには、ログ レベル、ファイル レベル、およびユーザー レベルの監査という 3 つのアプローチを併用する必要があります。この 3 つのアプローチを併用すると、サーバーで行われていることをあらゆる角度から確認できるようになります。監査を行わないと、データのセキュリティ違反、評判の低下、仕事の喪失、法令違反による高額な罰金、サード パーティが会社のシステムで行っていることに関する可視性の損失というリスクが生じます。Windows Server の監査には、「石橋をたたいて渡る」という考え方が間違いなく当てはまります。
.png)
Tom Kemp は、ソフトウェアとクラウド セキュリティ プロバイダーである Centrify Corp. の共同設立者兼 CEO (最高経営責任者) です。Centrify で働く以前は、NetIQ、Compuware、EcoSystems Software、および Oracle で、さまざまな幹部職、技術職、およびマーケティング職を務めた経験があります。また、ミシガン大学で科学と歴史の理学士号を取得しています。