ニュース
2004/04/15 12:00 更新
第2回
Microsoftネットワークの監視で見えてくる、Windowsの裏側 (2/3)
では、MSネットワーク上でのユーザーやコンピュータの動作が、VISUACTではどう見えるのかを紹介してみたい。
まず、あるコンピュータで共有フォルダの自動検索が働いたときの様子を見てみよう。ワークグループ環境で自動検索を行ったコンピュータがあると、VISUACTビューワは画面1のように見える。
画面上で円の周りを取り囲んでいるのがネットワークに接続されたコンピュータで、それぞれコンピュータ名とOSアイコンが表示されている。また左側の1台のコンピュータ名の下には、ログオンユーザー名が赤字で表示されている。
サーバへのアクセスがあった場合、コンピュータ間は緑色の線で結ばれる。そしてその線の上下に、どんな操作が行われたのかが表示される。この例では、サーバへの接続に失敗した("Logon Failure")というメッセージと、接続に使用したユーザー名("arimoto")が表示されている。
不正アクセスはこう「見える」
では次に、VISUACTを使ってMSネットワークを監視し、セキュリティ向上やネットワーク管理に活用する事例をいくつか紹介しよう。
持ち込みPCからのアクセス
たとえば、部外者がオフィスにPCを持ち込み、そこから社内ファイルサーバへアクセスしたとしよう。あなたにはその事実が簡単に分かるだろうか?
VISUACTではアクセス元のコンピュータに関する情報として、IPアドレスだけでなく、コンピュータ名やユーザー名、OS情報も同時に出力する。こういったアクセス元に関する情報は、組織で管理されているPCかどうかを見分ける上でポイントとなる情報だ。これらの“勝手PC”は、組織として管理されている端末とは異なり、所有者個人が自由に名前を付け、組織標準のものとは異なるOSを使っていることが多いからだ。したがって、組織内の運用規則に当てはまらない、見慣れないコンピュータからのアクセスが見えれば、持ち込みPCからのアクセスだとすぐに判断できる(組織としてPCを管理していない場合は論外なのだが)。
自宅やモバイル環境からのアクセス
今後は、自宅やモバイル環境からイントラネットへアクセスしてくるケースがますます増えるだろう。VPNやRASを利用してイントラネットにアクセスするコンピュータには、IPアドレスが動的に割り当てられる場合が多い。この場合、どのコンピュータがファイルサーバへアクセスしているのか、アクセス元のIPアドレスからすぐに判断することはできないのだ。
だが、コンピュータ名やユーザー名が分かれば、どのコンピュータから誰がアクセスしているのかを把握できるはずだ。もし自宅の個人PCからアクセスしていれば、上記の“勝手PC”と同じように、個人的なコンピュータ名やユーザー名(たとえば画面2の中央のラインにあるユーザー名"POCHI"といった名前)が付けられている可能性が高く、すぐに見分けることができるだろう。
他人のふりをしたアクセス
不正アクセスを試みる人物は、往々にして、他人のアカウントを用いてファイルサーバへアクセスしようとする。パスワード管理が徹底されているとは言えない現状では、どの企業でも十分にありえる話だ。だがサーバからすれば、アクセス権を持ったアカウントからのアクセスであれば、正常なアクセスと認識する。
ここで、書類棚にある書類に物理的にアクセスする場合を思い返してみよう。その書類とはまったく関係ない社員が書類棚の周りをうろうろしたり、書類棚を漁ったりしていれば、それを見た他の社員が、すぐに怪しいと気付くはずだ。
イントラネットにおいても同じことが言える。どのコンピュータを使っている誰が、サーバ上のどのファイルに対してどんな操作を行っているのかが、誰にでも見え、把握できるようにしておくことが、不正なアクセスの兆候を見つけるためには必要なのだ。こういった監視カメラ的な役割を担う製品はいくつかあるが、VISUACTの出力を見ても、どのコンピュータから、どのユーザーが、どのファイルに対して、読み書き、削除やリネームなどの操作を行ったのかが分かる。
[有元伯治(セキュリティフライデー),ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.