監査とは

監査とは、システムリソースの使用状況に関するデータを収集することです。監査データは、セキュリティーに関連するシステムイベントの記録を提供します。このデータは、ホストで発生する動作に対する責任の割り当てに使用できます。監査を正常に機能させるには、識別と認証という 2 つのセキュリティー機能が重要 です。ログインのたびに、ユーザーがユーザー名とパスワードを入力すると、一意の監査セッション ID が生成され、そのユーザーのプロセスに関連付けられます。監査セッション ID は、ログインセッション中に起動されるすべてのプロセスに継承されます。単一のセッション内でユーザーが ID を変更しても、実行するすべての動作は同じ監査セッション ID によって追跡されます。ID の変更についての詳細は、su(1M) のマニュアルページを参照してください。

監査サービスを使うと、次の処理が可能になります。

• ホスト上で発生するセキュリティーに関係するイベントの監視

• ネットワーク全体の監査トレールへのイベントの記録

• 誤った使用または権限のない動作の検出

• アクセスパターンの確認と、ユーザーおよびオブジェクトのアクセス履歴の調査

• 保護メカニズムを迂回しようとする操作の検出

• ユーザーが ID を変更するときに発生する特権の拡大使用の検出

システムの構成時に、どの監査レコードのクラスを監視するかを選択します。各ユーザーに行う監査の程度は、細かく調整することもできます。次の図は、Solaris 監査のフローの詳細を示しています。

図 28–1 監査のフロー

監査データは、カーネルに収集された後、プラグインにより適切な場所に配布されます。次に、事後選択ツールで、監査証跡の必要な部分を削減して調査できます。たとえば、個々のユーザーまたは特定グループの監査レコードを確認できます。特定の日に発生した特定の種類のイベントに対するすべてのレコードを調査できます。または、特定の時間帯に生成されたレコードを選択することもできます。

非大域ゾーンをインストールするシステムは、大域ゾーンからと同じようにすべてのゾーンを監査できます。これらのシステムは、非大域ゾーンのさまざまなレコードを収集するように構成することもできます。詳細は、「監査と Solaris ゾーン」を参照してください。