監査コストの制御

監査処理によってシステム資源が消費されるため、どの程度詳しく記録するかを制御する必要があります。監査の対象を決めるときには、監査に伴う次の 3 つのコストを考慮してください。

• 処理時間の増大に伴うコスト

• 監査データの分析に伴うコスト

• 監査データの格納に伴うコスト

処理時間の増大に伴うコスト

処理時間の増大に伴うコストは、監査に関連する 3 つのコストの中ではもっとも重要性の低い問題です。第 1 に、通常は、イメージ処理や複雑な計算処理などの、計算集中型のタスクの実行中には監査処理が発生しないからです。第 2 に、1 人のユーザーだけが使用するシステムのコストは通常小さく、無視してもかまわないからです。

分析に伴うコスト

分析に伴うコストは、収集される監査データの量にほぼ比例します。分析に伴うコストには、監査レコードをマージして検討する所要時間や、それをファイルに保存して安全な場所に保管する所要時間が含まれます。

生成するレコードが少ないほど、分析に必要な時間も短くなります。「格納に伴うコスト」および 「効率的な監査」では、収集するデータ量を削減しながら、サイトのセキュリティ要件を実現する方法について説明します。

格納に伴うコスト

格納に伴うコストは、監査コストのうちでもっとも重要です。監査データの量は次の要素によって左右されます。

• ユーザー数

• マシン数

• 使用量

• 必要なセキュリティの程度

これらの要因はサイトごとに異なるため、監査データの格納用に前もって確保しておくディスク容量を決定できるような計算式はありません。

all フラグで指定して完全な監査を行うと、ディスクがすぐにいっぱいになります。中程度のサイズのプログラム (5 ファイルで合計 5000 行のプログラムなど) をコンパイルするなど、1 分もかからないごく単純なタスクでも、何千もの監査レコードが生成され、何 M バイトものディスク容量を占有する可能性があります。したがって、事前選択機能を使用して、生成されるレコードの量を減らしておくことが大変重要になります。たとえば、すべてのクラスを監査するのではなく、fr クラスを省略すると、監査ボリュームを 3 分の 2 以上も削減できます。また、監査レコードが作成されたあとも、要求されるディスク容量を削減するために監査ファイルを効率よく管理することが重要です。

監査機能を構成する前に、監査フラグと、フラグが立てられるイベントの種類を理解しておく必要があります。サイトで必要なセキュリティの程度と、管理の対象となるユーザーの種類に基づいて、サイトの監査についての基本ポリシーを設定します。