セキュリティ製品の中には,「この製品は Audit 機能を搭載しています」や「この製品は Audit にもご利用いただけます」といった“うたい文句”がカタログなどに記載されているものがある。「Audit」とは「監査」のことであるが,コンピュータ・セキュリティの分野では,特別な意味を持つ。主に,「秘匿性」「一貫性」「可用性」を検査し監督することである。これらは具体的にどういったことなのか。今回のコラムでは,この「セキュリティ Audit」について解説する。

Audit とは何か

 「Audit」を英和辞書で引くと,「監査」と書かれている。通常,「監査」には以下のような意味が含まれている。

  • 記録ないしアカウントを公式に検査すること。および,その妥当性を確認すること
  • 記録ないし文書を,ある規則,手順にしたがって検査あるいは評価すること

 コンピュータ・セキュリティにおける Audit は,さらに特別な意味を持つ。セキュリティAudit は「正確に定義されたクライテリア(評価基準)に基づき,精密な検査をそれぞれのシステムに対して実施し,評価すること」と言えるだろう。そして,評価の結果,あらかじめ設定した目標値にどれだけ近いかが重要になってくる。

 それでは,コンピュータ・セキュリティ Audit において,検査および評価の対象となるのは何であろうか。具体的には,システムの「秘匿性」「一貫性」「可用性」などである。

「秘匿性」「一貫性」「可用性」を監査する

 セキュリティを保つためには,システムの「秘匿性」「一貫性」「可用性」が保たれなければならない。これらは鼎(かなえ)の足のようなものであり,いずれかが欠けては,セキュリティ・レベルを維持できない。そして,セキュリティ Audit はこれら全体を監査対象とするものでなければならない。それぞれについて,以下簡単に説明する。

  • 秘匿性:正当なアクセス元からのみ,データにアクセスできること
  • 一貫性:データの完全性を保持できること(データが改変されていないことを保証できること)
  • 可用性:権限が与えられているデータ(資源)に対しては,十分にアクセス可能であること

 では,具体的に何を調べればよいのだろうか。例えば,「秘匿性」については,アカウントの調査が第一に挙げられる。アカウントの調査というと,「管理範囲のシステムで使用されているパスワードの中には,推測可能なものが含まれていないかを調べること」がよく挙げられるが,筆者はそれでは不十分であると考えている。

 さらに踏み込んで,「定期的にパスワード検査をしているか?」,「推測が容易なパスワードを持つアカウントを,強制的に排除するプロセスあるいはメカニズムを備えているか?」,「適切なパスワードを設定しなければいけないことや,定期的にパスワードを変更しなければいけないこと,および適切なパスワードを作成する方法などが,セキュリティ・ポリシーに明文化されているか?」までも Audit の対象とすべきである。加えて,「そのアカウントに与えられているパーミッション(権限)は適切かどうか?」についても調べる必要があるだろう。

 また,情報システムを対象とした Audit については,以下の要素を加味することが不可欠である。

  • 信頼性:情報システムに障害が発生した場合の影響範囲や回復に必要なコストについて
  • 安全性:自然災害や不正アクセスに対して,情報システムがどの程度強固であるかについて
  • 効率性:情報システムの資源がどの程度活用されているのかについて

これらを加味した上で,システムの「秘匿性」「一貫性」「可用性」が十分であることを検査するのである。

セキュリティ Audit だけではない

 システム管理者にとって,前述のようなセキュリティ Audit は不可欠である。しかし,管理者が枕を高くして寝られるようにするためには,これだけでは不十分である。安心してシステムを管理できるようにするためには,以下のような Audit も必要だろう。

  • システムのパフォーマンスに関する Audit
    管理対象のシステムに対し,SLA(Service Level Agreement)が定義されている場合,そのレベルを満たしているかどうかについての Audit
  • 品質保証に関する Audit
    管理対象のシステムの品質が,第三者による規格や基準を満たしているかどうかについての Audit
  • 委託先が行う業務に関する Audit
    データセンターのような他組織にシステム管理を任せている場合,契約通りの業務を委託先が遂行しているかどうかについての Audit
  • システム管理者の習熟度に関する Audit
    運用しているシステムについて,そのシステム管理者がどの程度習熟しているかどうかの Audit。当然,システム管理者本人ではなく,その所属長などが行うことになる

◇     ◇     ◇     ◇     ◇     ◇

 「改めて『Audit』などしなくても,システム管理者に任せておけば大丈夫。必要に応じてチェックしているはずだ」---。残念ながら,そんな時代は終わってしまった。確かに,今までの“典型的な”そして“良心的な”システム管理者は,その妥当性を確認しながら作業を進めてきた。そして,その確認項目は,システム管理者が“肌”で理解しているものであった。もちろん,肌で理解するのは簡単なことではない。管理者自身の熱意や誇りが必要である。

 しかし,熱意や誇りをあまり持たないシステム管理者が増えている現在においては,肌で理解することを期待することが難しい。クライテリアや手順を明文化して,Auditを実施することが,システムをセキュアに保つためには不可欠なのである。


坂井順行(SAKAI Yoriyuki)
株式会社ラック 不正アクセス対策事業本部
sakai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。