監査とセキュリティーとの関連

監査は、システムの使用状況の疑わしい、または異常なパターンを明らかにすることによって、潜在的なセキュリティー違反の検出に役立ちます。監査ではまた、疑わしいアクションを追跡して特定のユーザーを突き止めるための手段も提供されるため、抑止力としても機能します。活動を監査されていることをユーザーが知っている場合、悪質な活動を試みる可能性は低くなると考えられます。

コンピュータシステム、特にネットワーク上のシステムを保護するためには、システムのプロセスまたはユーザーのプロセスが開始する前に活動を制御するメカニズムが必要です。セキュリティーの確保には、動作の経過をモニターするツールが必要となります。また、セキュリティーの確保には、動作終了後に動作内容を報告することも必要です。

ほとんどの監査活動では現在のイベントがモニタリングされ、指定されたパラメータを満たすイベントが報告されるため、ベストプラクティスとして、ユーザーがログインするか、またはシステムプロセスが開始される前に監査パラメータを設定する必要があります。これらのイベントが監査サービスでどのようにモニターおよび報告されるかについては、第 27 章監査の計画および 第 28 章監査の管理 (タスク)で詳細に説明されています。

監査では、ハッカーによる不正な侵入を防止することはできません。ただし、監査サービスでは、たとえば、特定のユーザーが特定の日時に特定の動作を行なったことが報告されます。監査報告では、入力経路とユーザー名によってこのユーザーを特定できます。これらの情報は、すぐに端末に表示したり、ファイルに出力してあとで分析したりできます。このように、監査サービスの提供するデータから、次のことが判断できます。

• どのようにシステムセキュリティーが低下したか

• 必要なセキュリティーレベルを実現するために閉じることが必要なセキュリティーホールはどれか