パケットキャプチャ型監査ツールの問題点
パケットキャプチャとは、実際のネットワーク上で流れる情報のパケット(大きな情報を小さなデータに分割したもの)を採取することである。
この方法を用いて、ITの内部監査を行うソフトが多数あるが・・・
パケットキャプチャでは監査に耐えうる情報を取得することはできない
では、パケットキャプチャの問題点とは何なのか。それを以下にまとめてみた。
その1:ネットワークを通過しなければキャプチャーできない!
冒頭にも記述したように、パケットキャプチャはネットワーク上で流れる情報を取っているので、
当然ネットワークを通過しない情報は取得不可能。
よって、目的のサーバーを直接操作した場合は、監査できないことになる。
また、遠隔から操作する場合も、エミュレータソフト(リモートディスクトップ)などを用いて、直接サーバーにログインすれば、サーバー内で送受信が行われている間の情報は監査できなくなる。
その2:全ての情報はキャプチャーできない!
パケットキャプチャ型の製品は、部分的にパケットを取得している製品が多い。
ばらばらに送られるパケットを、全て取得するには、それなりの機器で取得しなくてはならず、
また膨大なパケット(再送信されたパケット含む)を第3者が繋ぎ合わせるのは不可能だろう。
つまり、断片的な情報しか得ることができずに、本当に監査の役割を果たしていると言えるのだろうか。
例えば、SQLでDBにアクセスする際に、SQL文の最初に飛んでくるパケットを取得したとする。
そのSQL文の量が多ければ、キャプチャーしたSQL文は一部であり、実態を何もつかめないことになる。
監査をしている気になるだけで、実際のところ何も把握できていないということも十分ありえるのである。
その3:暗号化(SSH接続)されたネットワーク上では監査にならない!
最近では、悪質な傍受を防ぐために、ファイルを暗号化して、送受信を行うことも多い。
SSH接続は、いったん「鍵」でファイルを暗号化させ、受信側でまた「鍵」を用いて複合化させるという手段を用いて送受信を行う。
その際、ネットワーク上には常に暗号化された情報が飛び交うわけなので、情報を取得した後に、複合化しなければならない。
前述したように、パケットキャプチャではネットワークを経由する情報を全て取得することは難しい。
複合化するためには、暗号化された情報を全て集めなければならないので、断片的な情報しか取得できないのでは、複合化することができないのだ。
しかも、この通信手段は無償で設置することが可能なので、誰でもパケットキャプチャを無効化することができるわけである。
監査ツールの比較(特徴とメリット/デメリット)
パケットキャプチャ型のツールとしては、データベースアクセス監査ツールがある。このツールを例に、分析してみよう。 データベースアクセス監査ツールには、大きく分けて以下のような分類のツールが存在します。 その中で、アクセス監査に必要不可欠な機能と安定稼動を備えたツールを選定する必要がある。
上記の表より、データベースアクセス監査ツールは、“DB監査ログ利用型”であることが望ましい。 他の方法では、ログの取得漏れを防ぐことが難しく、投資の意味をなさない可能性がある以上、選定は難しいと考えられる。
内部監査の役割とパケットキャプチャ型監査
内部監査を行う際に重要なことは、監査漏れがないことを証明できるかどうかである。
これまで、パケットキャプチャ型についての問題点を挙げてきたが、
確かにパケットキャプチャで取得できる情報は多い。
しかし、取り漏れが起こる可能性が少しでもある時点で、内部監査を行っている意味は半減(もしくはまったくない)してしまうのである。
パケットキャプチャ型の手法で内部監査を行う際は、以上のことをよく検討した上で、判断していただきたい。
◆WEEDS Trace Seriesでは、独自の方法で漏れのないIT全般の内部監査を実現している。
詳細はDBアクセス監査WEEDS DB-Traceページへ
.jpg)
.jpg)