9.8 機密属性のフィルタ処理

セキュア・ロギングをアクティブ化してデフォルトのフィルタ・リストを拡張すると、ログ・ファイルの機密情報をマスキングできます。

フィルタ・リストに属性を追加する場合は、表示名および属性名をディレクトリ・サーバーに含める必要があります。次の手順では、このタスクの実行方法を説明します。この例では、ユーザーの自宅電話番号(表示名Home Phone、属性名homePhone)をフィルタ処理します。実際には、任意の属性をフィルタ処理できます。

ノート:

FILTER_LISTに値を追加するごとに、セキュア・ロギングの使用にかかるランタイム・コストが増加します。

ランタイム・コストを抑えるために、FILTER_LISTの使用を最適化することをお薦めします。たとえば、ParamNameの2つのバリエーション(User PasswordとuserPassword)を追加するかわりに、1つのみを使用できます。ParamNameとしてPasswordを使用すると、User Password、 userPassword、およびPasswordで終わるその他の単語がマスキングされます。また、FILTER_LISTにHome PhoneとhomePhoneの両方を含めるかわりに、Phoneのみを使用できます。

関連項目:

• 「Webゲート・インスタンスのロギングの理解」

• 「Webゲートの単純なリストのパラメータとロギングしきい値」

• 「Webゲートのフィルタ・リストのパラメータ」

• 「デフォルトのログ構成ファイルの設定」

1. ログ構成ファイルをテキスト・エディタで開きます。

   Webgate_install_dir\identity|access\oblix\config\oblog_config_wg.xml

2. oblog_config_wg.xmlで、次の操作を行います。

   1. セキュア・ロギングがアクティブであることを確認します。次に例を示します。

      <SimpleList> 
         <NameValPair  
            ParamName="SECURE_LOGGING"
            Value="On"></NameValPair> 
      </SimpleList>
      

   2. ファイルの最後にあるFILTER_LISTを探します。次に例を示します。

          <ValNameList xmlns="http://www.oblix.com" ListName="FILTER_LIST">
             <NameValPair ParamName="password" Value="40" />
             <NameValPair ParamName="Password" Value="40" />
             <NameValPair ParamName="response" Value="40" />
             <NameValPair ParamName="Response" Value="40" />
          </ValNameList>
      

   3. マスキングする表示名とマスキングの長さの値を追加し、属性とマスキングの長さの値を追加します。次に例を示します。

             <NameValPair ParamName="Home Phone" Value="300" />
             <NameValPair ParamName="homePhone" Value="300" />

      ノート:

      テスト用に、LOG_THRESHOLD_LEVELおよびLOG_SECURITY_THRESHOLD_LEVELをTRACEに設定します。ステップ6aを参照してください。

   4. LOG_THRESHOLD_LEVELとLOG_SECURITY_THRESHOLD_LEVELが同じレベルである、または互いに一貫性があることを確認します(表9-4を参照してください)。次に例を示します。

      <SimpleList> 
         <NameValPair ParamName="LOG_THRESHOLD_LEVEL" Value="LOGLEVEL_WARNING" /> 
      </SimpleList>
      ...
      <SimpleList> 
         <NameValPair ParamName="LOG_SECURITY_THRESHOLD_LEVEL" Value="LOGLEVEL_
         WARNING" />
      </SimpleList>
      

   5. oblog_config_wg.xmlファイルを保存します。

3. ユーザー・パスワードのフィルタ処理: 次のステップを実行し、「Webゲートのフィルタ・リストのパラメータ」を参照してください。

   oblog_config_wg.xmlのフィルタ・リストに表示名User Passwordおよび対応する属性を追加し、それぞれのマスキングの長さを設定します。次に例を示します。

       <ValNameList xmlns="http://www.oblix.com" ListName="FILTER_LIST">
         ...
          <NameValPair ParamName="User Password" Value="40" />
          <NameValPair ParamName="userPassword" Value="40" />
       </ValNameList>
   

4. 次の手順で、セキュア・ロギングおよび機密情報のフィルタリングをテストします。

   1. oblog_config_wg.xmlファイルで、LOG_THRESHOLD_LEVELおよびLOG_SECURITY_THRESHOLD_LEVELをTRACEに設定します。

         <NameValPair ParamName="LOG_THRESHOLD_LEVEL" Value="LOGLEVEL_TRACE" /> 
      ...
         <NameValPair ParamName="LOG_SECURITY_THRESHOLD_LEVEL" Value="LOGLEVEL_
         TRACE" />
      

   2. セキュア・ロギングを構成したコンポーネントに関係するタスクを実行します。次に例を示します。

      リソースへのアクセス

      ユーザーのプロファイルで属性の値を表示または変更します。フィルタ処理する属性がhomePhoneの場合はHome Phoneです。

   3. 次のoblogをチェックし、フィルタ処理した属性値が***********のように文字列でマスキングされていることを確認します。

      Webgate_install_dir/access/oblix/log/oblog.log

   4. oblog_config_wg.xmlファイルでLOG_THRESHOLD_LEVELおよびLOG_SECURITY_THRESHOLD_LEVELを企業の目的に合ったレベルにリセットします。

   5. 必要に応じて、oblog_config_wg.xmlファイルでフィルタ処理する属性のマスキングの長さを調整します。次に例を示します。

          <NameValPair ParamName="Home Phone" Value="340" />
          <NameValPair ParamName="homePhone" Value="340"/>
      

5. デプロイ内の、1つ以上のマスキング対象属性を含むコンポーネントごとに、ステップ1から6を繰り返します。