内部統制実現の鍵は? ログ管理やNACにそのヒントを探るInterop Tokyo 2007

Interop Tokyo 2007の「Enterprise Solution Showcase」では、内部統制というキーワードの元、企業向けセキュリティソリューションが紹介されている。

» 2007年06月14日 07時37分 公開
[ITmedia]

 ユーザーは与えられた権限の下で利用可能なリソースにアクセスし、その行動の正しさをログ(記録)によって証明する。内部統制におけるITへの対応とは、これらをネットワーク環境で実現することにある。

 しかし一口にログと言っても、どのようなログを収集し、管理すればよいのか、明確に理解している企業はどれだけいるだろうか。また、権限に基づいたユーザー認証システムを導入するにしても、認証後のユーザーが不正行為を働いた場合に追跡できる仕組みもほしい。

 Interop Tokyo 2007の「Enterprise Solution Showcase」では、内部統制をキーワードに企業向けセキュリティソリューションが一堂に会した。

ログ管理、何に利用するかを明確に

 中でも注目されたのは、「ログ管理」と「NAC(ネットワーク・アクセス・コントロール)」のソリューションだ。これらは内部統制の実現においても、ユーザー認証とその行動の記録という意味で重要な要素となる。

 まずログ管理だが、大きく「ネットワークアーカイブ」「アクセス管理」「セキュリティ管理」の3つに分類することができる。ネットワークアーカイブとは、すべてのログを記録する方法で、アクセス管理はアプリケーション単位などでアクセス情報を取得し、記録する方法だ。そして、セキュリティ管理はログファイルをExcel形式などに分析・加工して保存する方法になる。選択のポイントは、実施したいセキュリティ対策を補完するログ管理方法を選ぶことだ。

 いずれも、内部統制の実現を補完するソリューションだ。Enterprise Solution Showcaseでは、NACによるユーザー認証との組み合わせが紹介された。

 ユーテン・ネットワークスのネットワークアーカイブ製品「GigaLogger 1000」は、1Gbpsのワイヤスピードでパケットをキャプチャし、最大4TBの内蔵ディスク(Fibre ChannelオプションでSANストレージとしても使用可)にログを格納する。キャプチャしたパケットのヘッダー部分を圧縮することで、データサイズを5分の1から20分の1まで縮小し、格納先のディスク容量を効率的に利用できる。

ユーテン・ネットワークスの「GigaLogger 1000」

 1Gbpsで流れるパケットを漏れなく解析できる同製品は、ISPのバックボーンで導入されているほか、企業の外部ネットワークとの接続口やサーバファーム前に配置されることが多いという。

 また、アクセス情報を意識した解析ができることから、ワイヤスピードのキャプチャ能力を活かして「ログ管理の視点からユーザーの振る舞いを追跡してグラフィカルに表示するログ管理+NAC製品」を現在開発しているという。発表は、今秋を予定している。

認証後の振る舞いも監視対象に

 NAC関連では、日商エレクトロニクスが販売するConsentry Networksの「Consentry LANシールド」シリーズが目を引いた。

 NACとは、これまで「検疫システム」として知られてきた仕組みの総称だ。NACは、ユーザー認証やMACアドレス認証、パッチファイルの更新状況などを総合的に検査してアクセスの可・不可などを判断する「Pre-Admission Control」と、接続後のユーザーの振る舞いを追跡して不正行為を行っていないか監視する「Post-Admission Control」の2つに分けられる。

 Consentryは、後者のPost-Admission Controlに当たる製品だ。複数のスイッチを配下に置き、ブリッジとして透過的に機能する「ConSentry LANコントローラ CSシリーズ」と、既存スイッチと置き換える形で導入する「Consentry LAN Shieldスイッチ」の2機種で展開する。

Consentry Networksの「Consentry LANコントローラ」

 Consentry LANシリーズの特徴は、社内LANへの接続可否を決定するだけでなく、接続後のユーザーがアクセス制限のかけられたファイルにアクセスを試みていたり、P2Pソフトウェアなど利用が禁止されているツールを使用している場合、それを検知し、利用制限をかけることができる点だ。

 米国ではすでに教育機関や医療施設などで導入が進んでおり、日本でもサーバルームでのアクセスなど、部分最適での導入を検討する企業がいるという。128コアのプログラマブルASICによる高速処理で、トラフィックのボトルネックになる心配もない。

 なおNACの方式としては現在、シスコシステムズ独自の「NAC」、マイクロソフト独自の「NAP」、そしてその他のベンダーによる「TCG(Trusted Computing Group)」を活用したものなど、複数の流儀がある。導入する場合は、自社のネットワーク構成を確認してから最適な仕様を選択するとよい。ただし、いずれも相互接続性を確立するための歩み寄りがあり、将来的には1つに集約される可能性もある。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ