監査コストの制御

監査処理によってシステム資源が消費されるので、どの程度詳しく記録するかを制御しなければなりません。監査の対象を決めるときには、監査に伴う次の 3 つのコストを考慮してください。

• 処理時間の増大に伴うコスト

• 監査データの分析に伴うコスト

• 監査データの格納に伴うコスト

処理時間の増大に伴うコスト

処理時間の増大に伴うコストは、監査に関連する 3 つのコストの中ではもっとも重要性の低い問題です。第 1 に、通常は、イメージ処理や複雑な計算処理など、計算集中型のタスクの実行中には監査処理が発生しないからです。第 2 に、1 人のユーザだけが使うワークステーションでは CPU に十分な余裕があるからです。

分析に伴うコスト

分析に伴うコストは、収集される監査データの量にほぼ比例します。この種のコストには、監査レコードをマージして検討する所要時間や、それをファイルに保存して安全な場所に保管する所要時間が含まれます。

生成するレコードが少ないほど分析に要する時間も短くなるので、この後の節ではサイトのセキュリティ目標を保ちつつ、収集するデータ量を削減する方法について説明します。

格納に伴うコスト

格納コストは、監査に伴うコストのうちでもっとも重要です。監査データの量は次の要素によって左右されます。

• ユーザ数

• マシン数

• 使用量

• 必要なセキュリティの程度

各要素は状況により異なるので、監査データの格納用に前もって確保しておくディスク容量を決定できるような計算式はありません。

完全な監査 (all フラグで指定します) の場合は、ディスクがすぐいっぱいになってしまいます。中程度のサイズのプログラム (5 つのファイルで合計 5000 行のプログラムなど) をコンパイルするなど、1 分もかからないごく単純なタスクでも、数千の監査レコードが生成され、何メガバイトものディスク領域を消費する可能性があります。したがって、事前選択機能を使用して、生成されるレコードの量を削減しておくことが大変重要になります。たとえば、すべてのクラスを監査するのではなく、fr クラスを省略すると、監査ボリュームを 3 分の 2 以上も削減できます。また、監査レコードが作成された後も、必要なディスク容量を削減するために監査ファイルを効率よく管理することが重要です。

この後の節では、サイトのセキュリティに関するニーズを満たしつつ、監査対象を選択して収集される監査データの量を削減し、格納に伴うコストを削減する方法について、いくつかのヒントを示します。また、監査ファイル記憶装置と保存手順を設定し、記憶領域の所要量を削減する方法についても説明します。

監査機能を構成する前に、監査フラグと、フラグが立てられるイベントのタイプを理解しておく必要があります。サイトで必要なセキュリティの程度と、管理の対象となるユーザのタイプに基づいて、組織の監査上の基本方針を設定してください。

プロセス監査の事前選択マスクが動的に変更されない限り、ユーザのログイン時に設定される監査特性は、ログインセッション中に発生するすべてのプロセスに継承されます。また、データベースが変更されない限り、プロセス事前選択マスクは後続のすべてのログインセッションに適用されます。

動的制御とは、プロセスの実行中に管理者が設定する制御のことです。この制御が有効なのは、影響を受けるプロセス (および、その子プロセス) が存在する間だけですが、次回のログイン時には有効になりません。監査コマンドはログインしている現在のマシンにのみ適用されるので、動的制御は一度に 1 つのマシンにのみ適用されます。ただし、あるマシン上で動的な変更を行う場合は、それと同時にすべてのマシン上でも同じように変更する必要があります。

各プロセスは、監査クラス用に 1 ビットのフラグを 2 組ずつ持っています。1 組目はそのクラスのイベントが正常に要求されたときにプロセスが監査対象になるかどうかを制御します。2 組目は、イベントが要求されたが (何らかの原因で) 失敗したときに、プロセスが監査対象になるかどうかを制御します。これは、システムのセキュリティをやぶろうとする場合のブラウズ操作やその他の試行操作を検出するために使用されるため、一般的にプロセスが成功した場合よりも失敗した場合の方が詳しく監査されます。

静的なデータベース内でユーザ単位の監査制御情報を提供するだけでなく、1 台のマシン上でユーザのプロセスが動作している間に、監査の状態を動的に調整できます。

特定のユーザについての監査フラグを変更するには、-setpmask、-setumask、または -setsmask オプションを指定して auditconfig コマンドを使用します。このコマンドによって、1 つのプロセス、監査セッション ID、または監査ユーザ ID のプロセス監査フラグがそれぞれ変更されます。auditconfig(1M) のマニュアルページと 「auditconfig コマンド」を参照してください。