監査の実施計画
ワークステーションに監査計画を実施する作業は、システム管理者とセキュリティ管理者が共同で行います。システム管理者が担当するのは、ディスクと監査サーバーのネットワークの設定であり、セキュリティ管理者が担当するのは、監査対象の決定と、その情報を監査構成ファイルに書き込む作業です。監査ネットワークの設定はシステム管理者とセキュリティ管理者が共同で行います。監査ネットワークには、次のような特徴を持たせてください。
-
監査結果の分析担当者は、1 台のワークステーションからネットワーク内の全ワークステーションの全監査ファイルを読み取ることができる。システムオペレータはネットワーク内の全ワークステーションの全監査ファイルのバックアップをとることができる
方法:監査サーバーを作成して、そのサーバーに全監査ディレクトリをマウントします。
-
監査トレールがのぞき見されない
方法:適切な任意アクセス制御と必須アクセス制御によって、監査ディレクトリを保護します。ディレクトリのアクセスを監査するのもよい方法です。
-
Trusted Solaris システムの各ワークステーションは、マルチユーザーモードに入った直後から、監査トレールにレコードを書き込み続ける
方法:ユーザーのワークステーションを作成する前に監査サーバーを作成します。すべてのワークステーションには、インストール時に専用の監査パーティションを作成します。
-
すべてのワークステーションが同じ方法で監査される
方法:すべての監査構成ファイルを置く中央ロケーションを作成します。監査構成ファイルとは、audit_event、audit_class、audit_control、 audit_startup、audit_user、audit_warn の各ファイルのことです。このマニュアルでとりあげる監査ネットワークの実例では、監査構成ファイルは NIS+ マスターの /export/home/tmp ディレクトリに置かれています。テープまたはフロッピーディスクを使って、これらのファイルをすべてのワークステーションにコピーします。
-
エンドユーザーのワークステーションは、設定が完了した時点で、その監査レコードを監査サーバーに送ることができる
方法:エンドユーザーのワークステーションを設定する前に、監査サーバーを作成して監査レコードを受け取れるように設定しておきます。また、システム全体の監査構成ファイルを各ワークステーションへコピーする手順や、audit_control ファイルを修正して、各ワークステーションの監査結果の保存場所を設定する手順を決定します。
-
監査レコードの書き込みによってエンドユーザーのワークステーションの作業効率が低下しない
方法:定期的に監査トレールをアーカイブすると、監査サーバーのディスク容量を解放できます。ローカルの監査結果の保存場所を別のディスクまたはあまり使わないディスクに設けると、監査レコードがローカルで保存されていても、エンドユーザーの作業効率は低下しません。
- © 2010, Oracle Corporation and/or its affiliates