監査証跡信頼性確保への道のり

皆様こんにちは

今回は再びTMGのお話です。

ご存知の通り、TMGには Firewall , IPS , Anti-Virus , URL フィルタリング等、様々な機能が実装されているわけですが、多くご利用頂いているシナリオの一つに「監査ログ」があります。
以前のブログでもお伝えした通り、TMGにはURL フィルタリングの機能が実装されており、ビジネスに不必要なサイト等に対してアクセス制限をかけることで、「君子危うきに近寄らず」な構成を実現する事ができます。

更に、近年では、「誰がどこを閲覧しているのか？」を知りたい、ログにとっておきたいという要望が多くあり、TMGの監査ログ機能で実現する事ができます。
TMGの監査ログ機能では、TMGを介して行われる通信の送信元を Active Directory と連携する事で、ユーザー名で記録する事ができます。

また、監査ログでは、監査証跡としての信頼性が重要になります。
通常のプロキシやファイアウォールでは、送信元をＩＰアドレスでロギングする事はできますが、これだと、ＤＨＣＰ等により動的なアドレス配布を実施している環境に置いては、送信元を特定するための監査証跡としては信頼性に欠けると言えます。無線ＬＡＮを導入されている環境であれば、ＤＨＣＰによる動的なアドレス配布が多いため、該当する環境も多いのではないでしょうか。

また、静的な固定ＩＰアドレス環境であっても、管理者権限を持たせて運用しているような環境であれば、ＩＰアドレスは変更することができてしまいます。
このケースも監査証跡の信頼性に欠けると言えます。 監査証跡の信頼性を確保するには、「識別され、認証された」識別子を利用する事が大事ですが、TMG監査ログの機能を利用する事で、ユーザー名という「識別され、認証された」識別子をもってロギングする事が可能になるというわけです。

下記がＴＭＧで記録された通信ログですが、ドメイン名\ユーザー名の形式でしっかりと送信元ユーザー名が記録されています。更に、CONTOSO\junnoake が、カテゴリ「検索エンジン」のbingを閲覧している事がわかります。

また、監視を持って社員が不正を働く抑止力とする考え方が一般的に浸透しつつあります。ＴＭＧで取得した監査ログを毎月部長に提示する等、監視を告知する事で、より抑止力を向上する事ができ、ビジネスに対するリソースの集中化を図ると同時に、不正を抑止する効果が期待できます。 ネットワークの監査ログを検討されている方は是非一度お試し下さい。