「いつ，誰が，何をした」Windowsネットを裸にするツール

中道理

2003.06.11

　多くの企業がビルや部屋の入り口，資料の保管所などの要所に監視カメラを置き，ビデオ録画している。盗難などの事件が起こった際，後から状況を確認するためだ。誰がいつそこに入り，何をしたのかが映像で確認できる。また，カメラを設置することで，犯罪行為の抑止を期待できる。

　社内ネットワークにあるデータが盗まれ漏洩する事件は後を絶たない。多くは内部犯行によるものだ。このような事件を防ぐ場合でも，監視は効果的である。誰がサーバー上のどのファイルにアクセスしたかを常にウォッチするのだ。監視カメラと同様，事件の発生原因を追求できるし，犯罪の抑止も期待できる。

　では，社内ネットワークにおいて監視カメラに相当するものは何か。あえて挙げるなら，サーバーのアクセスログだろう。しかし，Windows NT/2000 Serverのログから，誰がいつ何をしたかを知ることはほとんど不可能だ。

　例えば，ある重要なファイルがサーバーからコピーされ，外に持ち出されたことが発覚したとしよう。Windowsのログから，誰がいつこのファイルをコピーしたかを知ることはできない。サーバー・アクセス時の認証成功/失敗はログとして残るが，ログオン後にどのユーザーがどのファイルをローカルにコピーしたかなどの情報は残らない。

ユーザーの行動を監視する

図●VISUACTでトレース可能な操作

　この問題をある程度解決するツールが2003年6月に登場する。セキュリティフライデーが開発した「VISUACT」である（セキュリティフライデーはこれまで山武のセキュリティ研究チーム「SecurityFriday.com」として活動してきたが，2003年4月から独立して株式会社になった）。

　VISUACTは，Windowsクライアントとサーバーがやり取りするパケットをキャプチャし，ユーザーごとの動作をモニターする。具体的には，ユーザーが行ったファイルの読み出し/書き込み/コピー/属性の変更，レジストリの操作などをトレースするのだ（図[拡大表示]）。先の例であれば，盗まれたファイルをどのユーザーがローカルにコピーしたかが分かるようになる。

類似製品はない

　ネットワークを流れるパケットを解析し，Windowsユーザーの挙動を監視するツールはほかにもありそうだ。例えば，パケットをキャプチャして不正アクセスを検知するIDS（intrusion detection system：不正検知システム）が実装していてもおかしくない。

　しかし，現在のところ同様の製品はない。というのも，Windowsがリモートのファイル/プリンタ/レジストリ操作に利用するSMB（server message block）プロトコルがどのような挙動を示すかの詳細を米Microsoft社が公開していないのだ。詳細を知るには，SMBパケットを解析し，その挙動を調べるしかない。

　しかも，SMBは難解なプロトコルである。ファイルを読み/書きする際，OpenやWriteのようなコマンドが一つ流れるのではない。複数のパケットが流れる。一連のパケットには相関関係があり，パケット同士の関係を理解できないと，読み出しなのか，書き込みなのかといった違いを理解できない。セキュリティフライデーは，SMBを解析し，この相関関係を導き出した。

日本発の世界標準を狙う

　VISUACTは大きく三つのコンポーネントから成り立っている。一つはネットワークをモニタし，Windows関連のパケットをキャプチャし，その内容を解析する「SENSOR」。残る二つはSENSORで解析した内容を保存する「RECORDER」（写真1[拡大表示]）と，結果をビジュアルに表示する「VIEWER」（写真2[拡大表示]）である。

写真1●ユーザーの動作を記録する「RECORDER」

写真2●動作をビジュアル化する「VIEWER」

　SENSORは監視対象のサーバーがやり取りするパケットをすべて収集できるように，スイッチング・ハブのポート・ミラーリング機能やリピータハブ，信号分岐装置（TAP）を使った個所に設置する。VISUACTを複数のサーバーと端末群の間の幹線に設置すれば，複数のサーバーを監視することもできる。RECORDERとVIEWERはSENSORと同じマシン/別のマシンのどちらでも稼働する。

写真3●ELNISテクノロジーが販売する「Intruder Alert + SMBモニタ」の画面例

　価格は19万8000円。海外製のセキュリティ製品が多い中で，日本発のデファクト・スタンダードを狙う。

VISUACTの四つの使いどころ

　VISUACTの用途は，(1)アクセスログの収集，(2)企業内の不正アクセス抑止，(3)不正アクセスの検知――の三つがある。(2)は「Windowsサーバーへのアクセスをすべて監視している」と社内に告知することで効果を期待できる。

　(3)はIDSの強化として使える。IDS単体では先に述べたように，Windowsユーザーの動作をとらえることはできない。IDSが検知した不正アクセスの兆候とVISUACTのログを合わせて分析することで，犯罪者の侵入経路，その場で行った操作などを追跡できる。

　すでに，ELNISテクノロジーがシマンテックのホスト型IDSツール「Intruder Alert」とセットで販売することを決めている。Intruder Alertの監視画面で従来のIDSのレポートとVISUACTのレポートを混ぜて表示する（写真3[拡大表示]）。VISUACTとIDSのアラートを関連付けて通知することも可能だ。

　セキュリティフライデーによると，VISUACTの機能をネットワーク診断の用途に利用することも可能だと言う。なぜログオンできないのか，などの原因を究明するために利用する。現在同社は，VISUACTのエンジンを利用したネットワーク診断ツールを別途開発中である。