★阿修羅♪ 現在地 HOME > 掲示板 > IT2 > 101.html
 ★阿修羅♪
次へ 前へ
「いつ,誰が,何をした」Windowsネットを裸にするツール【IT Pro記事】
http://www.asyura.com/0310/it02/msg/101.html
投稿者 クエスチョン 日時 2003 年 9 月 21 日 08:26:22:WmYnAkBebEg4M

「いつ,誰が,何をした」Windowsネットを裸にするツール【IT Pro記事】
http://itpro.nikkeibp.co.jp/members/NBY/ITARTICLE/20030604/1/

日経バイト 2003年6月号,22ページより
 多くの企業がビルや部屋の入り口,資料の保管所などの要所に監視カメラを置き,ビデ
オ録画している。盗難などの事件が起こった際,後から状況を確認するためだ。誰がいつ
そこに入り,何をしたのかが映像で確認できる。また,カメラを設置することで,犯罪行
為の抑止を期待できる。

 社内ネットワークにあるデータが盗まれ漏洩する事件は後を絶たない。多くは内部犯行
によるものだ。このような事件を防ぐ場合でも,監視は効果的である。誰がサーバー上の
どのファイルにアクセスしたかを常にウォッチするのだ。監視カメラと同様,事件の発生
原因を追求できるし,犯罪の抑止も期待できる。

 では,社内ネットワークにおいて監視カメラに相当するものは何か。あえて挙げるなら,
サーバーのアクセスログだろう。しかし,Windows NT/2000 Serverのログから,誰がいつ
何をしたかを知ることはほとんど不可能だ。

 例えば,ある重要なファイルがサーバーからコピーされ,外に持ち出されたことが発覚
したとしよう。Windowsのログから,誰がいつこのファイルをコピーしたかを知ることは
できない。サーバー・アクセス時の認証成功/失敗はログとして残るが,ログオン後にど
のユーザーがどのファイルをローカルにコピーしたかなどの情報は残らない。

ユーザーの行動を監視する

図●VISUACTでトレース可能な操作
 この問題をある程度解決するツールが2003年6月に登場する。セキュリティフライデー
が開発した「VISUACT」である(セキュリティフライデーはこれまで山武のセキュリティ
研究チーム「SecurityFriday.com」として活動してきたが,2003年4月から独立して株式
会社になった)。

 VISUACTは,Windowsクライアントとサーバーがやり取りするパケットをキャプチャし,
ユーザーごとの動作をモニターする。具体的には,ユーザーが行ったファイルの読み出し
/書き込み/コピー/属性の変更,レジストリの操作などをトレースするのだ(図[拡大表示])
。先の例であれば,盗まれたファイルをどのユーザーがローカルにコピーしたかが分かる
ようになる。

類似製品はない
 ネットワークを流れるパケットを解析し,Windowsユーザーの挙動を監視するツールは
ほかにもありそうだ。例えば,パケットをキャプチャして不正アクセスを検知するIDS
(intrusion detection system:不正検知システム)が実装していてもおかしくない。

 しかし,現在のところ同様の製品はない。というのも,Windowsがリモートのファイル/
プリンタ/レジストリ操作に利用するSMB(server message block)プロトコルがどのよう
な挙動を示すかの詳細を米Microsoft社が公開していないのだ。詳細を知るには,SMBパケ
ットを解析し,その挙動を調べるしかない。

 しかも,SMBは難解なプロトコルである。ファイルを読み/書きする際,OpenやWriteの
ようなコマンドが一つ流れるのではない。複数のパケットが流れる。一連のパケットには
相関関係があり,パケット同士の関係を理解できないと,読み出しなのか,書き込みなの
かといった違いを理解できない。セキュリティフライデーは,SMBを解析し,この相関関
係を導き出した。

日本発の世界標準を狙う
 VISUACTは大きく三つのコンポーネントから成り立っている。一つはネットワークをモ
ニタし,Windows関連のパケットをキャプチャし,その内容を解析する「SENSOR」。残る
二つはSENSORで解析した内容を保存する「RECORDER」(写真1[拡大表示])と,結果をビ
ジュアルに表示する「VIEWER」(写真2[拡大表示])である。


写真1●ユーザーの動作を記録する「RECORDER」

写真2●動作をビジュアル化する「VIEWER」


 SENSORは監視対象のサーバーがやり取りするパケットをすべて収集できるように,スイ
ッチング・ハブのポート・ミラーリング機能やリピータハブ,信号分岐装置(TAP)を使
った個所に設置する。VISUACTを複数のサーバーと端末群の間の幹線に設置すれば,複数
のサーバーを監視することもできる。RECORDERとVIEWERはSENSORと同じマシン/別のマシ
ンのどちらでも稼働する。


写真3●ELNISテクノロジーが販売する「Intruder Alert + SMBモニタ」の画面例
 価格は19万8000円。海外製のセキュリティ製品が多い中で,日本発のデファクト・スタ
ンダードを狙う。

VISUACTの四つの使いどころ
 VISUACTの用途は,(1)アクセスログの収集,(2)企業内の不正アクセス抑止,(3)不正ア
クセスの検知――の三つがある。(2)は「Windowsサーバーへのアクセスをすべて監視して
いる」と社内に告知することで効果を期待できる。

 (3)はIDSの強化として使える。IDS単体では先に述べたように,Windowsユーザーの動作
をとらえることはできない。IDSが検知した不正アクセスの兆候とVISUACTのログを
合わせて分析することで,犯罪者の侵入経路,その場で行った操作などを追跡でき
る。

 すでに,ELNISテクノロジーがシマンテックのホスト型IDSツール「Intruder Alert」と
セットで販売することを決めている。Intruder Alertの監視画面で従来のIDSのレポート
とVISUACTのレポートを混ぜて表示する(写真3[拡大表示])。VISUACTとIDSのアラートを
関連付けて通知することも可能だ。

 セキュリティフライデーによると,VISUACTの機能をネットワーク診断の用途に利用す
ることも可能だと言う。なぜログオンできないのか,などの原因を究明するために利用す
る。現在同社は,VISUACTのエンジンを利用したネットワーク診断ツールを別途開発中で
ある。

(中道 理)

■システムをウイルス/不正アクセス/情報漏洩から守る!「Windowsセキュリティ対策大全」
予約受付中
■情報システムの危機管理を見直せ!今なら無料で日経コンピュータ特別編集版をお読み
いただけます


<“VISUACT”関連>
■セキュリティフライデー,Windowsネットワークでの不正な操作を解析・監視するソフ
ト (2003/05/19)
■セキュリティフライデー,Windowsネットワークを監視するツールを発表 (2003/05/19)

 次へ  前へ

IT2掲示板へ

フォローアップ:
  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。