PR

 多くの企業がビルや部屋の入り口,資料の保管所などの要所に監視カメラを置き,ビデオ録画している。盗難などの事件が起こった際,後から状況を確認するためだ。誰がいつそこに入り,何をしたのかが映像で確認できる。また,カメラを設置することで,犯罪行為の抑止を期待できる。

 社内ネットワークにあるデータが盗まれ漏洩する事件は後を絶たない。多くは内部犯行によるものだ。このような事件を防ぐ場合でも,監視は効果的である。誰がサーバー上のどのファイルにアクセスしたかを常にウォッチするのだ。監視カメラと同様,事件の発生原因を追求できるし,犯罪の抑止も期待できる。

 では,社内ネットワークにおいて監視カメラに相当するものは何か。あえて挙げるなら,サーバーのアクセスログだろう。しかし,Windows NT/2000 Serverのログから,誰がいつ何をしたかを知ることはほとんど不可能だ。

 例えば,ある重要なファイルがサーバーからコピーされ,外に持ち出されたことが発覚したとしよう。Windowsのログから,誰がいつこのファイルをコピーしたかを知ることはできない。サーバー・アクセス時の認証成功/失敗はログとして残るが,ログオン後にどのユーザーがどのファイルをローカルにコピーしたかなどの情報は残らない。

ユーザーの行動を監視する

図●VISUACTでトレース可能な操作

 この問題をある程度解決するツールが2003年6月に登場する。セキュリティフライデーが開発した「VISUACT」である(セキュリティフライデーはこれまで山武のセキュリティ研究チーム「SecurityFriday.com」として活動してきたが,2003年4月から独立して株式会社になった)。

 VISUACTは,Windowsクライアントとサーバーがやり取りするパケットをキャプチャし,ユーザーごとの動作をモニターする。具体的には,ユーザーが行ったファイルの読み出し/書き込み/コピー/属性の変更,レジストリの操作などをトレースするのだ([拡大表示])。先の例であれば,盗まれたファイルをどのユーザーがローカルにコピーしたかが分かるようになる。

類似製品はない

 ネットワークを流れるパケットを解析し,Windowsユーザーの挙動を監視するツールはほかにもありそうだ。例えば,パケットをキャプチャして不正アクセスを検知するIDS(intrusion detection system:不正検知システム)が実装していてもおかしくない。

 しかし,現在のところ同様の製品はない。というのも,Windowsがリモートのファイル/プリンタ/レジストリ操作に利用するSMB(server message block)プロトコルがどのような挙動を示すかの詳細を米Microsoft社が公開していないのだ。詳細を知るには,SMBパケットを解析し,その挙動を調べるしかない。

 しかも,SMBは難解なプロトコルである。ファイルを読み/書きする際,OpenやWriteのようなコマンドが一つ流れるのではない。複数のパケットが流れる。一連のパケットには相関関係があり,パケット同士の関係を理解できないと,読み出しなのか,書き込みなのかといった違いを理解できない。セキュリティフライデーは,SMBを解析し,この相関関係を導き出した。

日本発の世界標準を狙う

 VISUACTは大きく三つのコンポーネントから成り立っている。一つはネットワークをモニタし,Windows関連のパケットをキャプチャし,その内容を解析する「SENSOR」。残る二つはSENSORで解析した内容を保存する「RECORDER」(写真1[拡大表示])と,結果をビジュアルに表示する「VIEWER」(写真2[拡大表示])である。

写真1●ユーザーの動作を記録する「RECORDER」
 
写真2●動作をビジュアル化する「VIEWER」

 SENSORは監視対象のサーバーがやり取りするパケットをすべて収集できるように,スイッチング・ハブのポート・ミラーリング機能やリピータハブ,信号分岐装置(TAP)を使った個所に設置する。VISUACTを複数のサーバーと端末群の間の幹線に設置すれば,複数のサーバーを監視することもできる。RECORDERとVIEWERはSENSORと同じマシン/別のマシンのどちらでも稼働する。

写真3●ELNISテクノロジーが販売する「Intruder Alert + SMBモニタ」の画面例

 価格は19万8000円。海外製のセキュリティ製品が多い中で,日本発のデファクト・スタンダードを狙う。

VISUACTの四つの使いどころ

 VISUACTの用途は,(1)アクセスログの収集,(2)企業内の不正アクセス抑止,(3)不正アクセスの検知――の三つがある。(2)は「Windowsサーバーへのアクセスをすべて監視している」と社内に告知することで効果を期待できる。

 (3)はIDSの強化として使える。IDS単体では先に述べたように,Windowsユーザーの動作をとらえることはできない。IDSが検知した不正アクセスの兆候とVISUACTのログを合わせて分析することで,犯罪者の侵入経路,その場で行った操作などを追跡できる。

 すでに,ELNISテクノロジーがシマンテックのホスト型IDSツール「Intruder Alert」とセットで販売することを決めている。Intruder Alertの監視画面で従来のIDSのレポートとVISUACTのレポートを混ぜて表示する(写真3[拡大表示])。VISUACTとIDSのアラートを関連付けて通知することも可能だ。

 セキュリティフライデーによると,VISUACTの機能をネットワーク診断の用途に利用することも可能だと言う。なぜログオンできないのか,などの原因を究明するために利用する。現在同社は,VISUACTのエンジンを利用したネットワーク診断ツールを別途開発中である。

(中道 理)