監査の概要
監査機能は、Trusted Solaris オペレーティングシステムのすべてのリリースに含まれている重要な要素です。監査機能はデフォルトで有効になっていますが、無効にしたい場合は、2 つのファイルに変更を加えます。監査ソフトウェアはすべて、次に挙げるパッケージの初期システムインストールに含まれています。
Trusted Solaris の監査機能はデフォルトで有効になっています。この機能には拡張性があり、システム管理者やセキュリティ管理者による設定も行えます。監査レコードはデフォルトで workstation-name :/var/audit/ ディレクトリに保存されます。また、スーパーユーザーは、監査クラス login_logout と non-attribute のイベントについて監査されます。
システム管理者は、監査レコードを保存するための専用パーティションを用意できます。監査結果を分析する担当者は、Trusted Solaris ネットワーク内の全ワークステーションから全レコードを集め、1 件の監査トレールにまとめる (併合する) ことができます。ワークステーションのネットワークから集めた監査レコードは、1 つの大きなファイルとして開くことができます。また、各種の基準を適用して、収集するレコードを選択することができます。
監査データが 1 つの監査トレールにまとめられたら、監査を評価する担当者は、選択 (「事後選択」という) ツールや変換ツールを使って、監査トレールの特定部分を調べることができます。たとえば、ユーザー別、グループ別、ホスト名別、特定の日付の特定種類のイベント別、1 日の時間別などのように、レコードを選択できます。
Trusted Solaris の監査では、監査管理を簡単にするため、監査イベントをクラス分けすることができます。セキュリティ管理者が監査するイベントクラスを指定すると、そのクラスのイベントすべてについて監査が行われます。ユーザーコマンドやカーネルシステムコールも監査イベントです。監査するイベントのクラスは、ワークステーションごとに指定することができます。スーパーユーザーのような特定ユーザーを特に監査することもできます。
セキュリティ管理者は、イベントとクラスのもともとの対応関係を修正して拡張することができます。一部のイベントについては、サイトのセキュリティポリシーに必要ない詳細部分を監査レコードから削除できます。各監査クラスは、ワークステーションごとに、失敗したイベント、成功したイベント、またはその両方について監査されます。監視するアクティビティを選択することを「事前選択」といいます。事前選択で知らせる相手を指定できます。
Trusted Solaris 監査サブシステムでは、機密ラベル admin_high を付けることで、監査レコードがのぞき見されないようになっています。監査構成ファイルをアクセスできるのは適切な管理役割ユーザーだけであり、特権がなければ、レコードを監査待ち行列へ送ることはできません。ISV とインテグレータには、特別な特権 proc_audit_appl が与えられているため、各アプリケーションの監査レコードを監査待ち行列に追加することができます。監査イベント番号 32768 から 65535 までは他社のトラステッドアプリケーション (トラステッドコンピューティングベースのアプリケーション) 用です。
監査の成否は、識別と認証の 2 つのセキュリティ機能で決まります。ログイン時にユーザーがユーザー名とパスワードを入力すると、そのユーザーのプロセスに固有の監査 ID が割り当てられ、ログインセッション中に開始したプロセスのすべてでその監査 ID が引き継がれます。たとえば、ユーザーが、管理役割になって識別情報を変更した場合でも、そのユーザーのアクションはすべて同じ監査 ID で追跡されます。
この章の残りの部分では、監査サブシステムについて説明します。第 2 章「監査の設定」では、監査の設定方法と管理方法について説明します。章の後半では、設定と保守の手順を示します。第 3 章「監査トレールの管理と監査結果の分析」では、監査トレールの概要、監査トレールのファイルの管理方法と読み取り方法について説明します。章の後半では、監査トレールの一般的な管理とその分析手順を示します。
- © 2010, Oracle Corporation and/or its affiliates