Jump to content 日本-日本語
日本HPホーム 製品とサービス サポートとドライバ ソリューション ご購入方法
お問い合わせ
日本HPホーム
製品とサービス > ソフトウェアとOS > HP-UX Developer Edge

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第5回 audsysとHIDSによる監査と侵入検知
UNIXの教科書 応用編 1日目:grepコマンドと正規表現
HAクラスタの教科書 第1日目:ハードウェア構成を知る
特集:ブレードシステムのメリットと管理・運用の実際
HP Serviceguardクラスタ構築手順
コンテンツに進む
第5回 audsysとHIDSによる監査と侵入検知
例えば、機密情報の流出や、Webサイトの書き換えといったセキュリティ・インシデントが発生したとき。そうしたケースにおいてHP-UXの管理者が頼れるツールとなるのが、「audsys」と「HIDS」だ。HP-UX 11i v3に標準で備わる監査機能audsysは、「システムコールレベルで監査ログを記録する」機能。シェル上で実行されたコマンドの履歴を単に記録するのではなく、HP-UX上で実行されたすべてのプロセスのシステムコールをリアルタイムに記録できる。またHPが提供する侵入検知システムHIDSでは、HP-UXシステムに対する侵入の兆候をつねに監視し、何らかの疑わしき動きを検知するとリアルタイムに管理者に通知する。
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第5回
HP-UXにおける監査の方法
ホストベースの侵入検知システム、HP-UX HIDS
2008年5月
テクニカルライター 吉川和巳

HP-UXにおける監査の方法
例えば、機密情報の流出や、Webサイトの書き換えといったセキュリティ・インシデントが発生したとき、もしくはそうした事態が発生していないことを明示する必要があるとき、システムの監査記録が残されていなければ、システム管理者はなすすべがない。経済産業省が公開している「情報セキュリティ管理基準」においても、以下のように規定されている。
  • 7.7.1 例外事項、その他のセキュリティに関連した事象を記録した監査記録を作成して、将来の調査及びアクセス制御の監視を補うために、合意された期間保存すること。
このように、セキュリティ情報の監査記録は、IT統制の基盤をなす要素だ。監査記録が残されていることで、いざ不正侵入などが発生した場合でも、その経路や情報流出の実態などをすばやく把握できる。例えば、システムログが改ざんされているかどうかを確認したり、誰が(UID)、どこから(IPアドレス)、いつ(実行日時)、何をしたか(実行コマンド)を調査したりといったことが可能となる。
では、HP-UXベースのシステムでは、具体的にどのような監査記録を用いることができるだろうか。もっとも基本的な手段としては、ログイン履歴を表示するlastコマンドや、コマンド実行履歴を表示するlastcommコマンド、.sh_historyファイル、scriptコマンドなどがある。しかし、これらのコマンドやファイルは監査機能として用いるには機能不足な点が多い。例えば、履歴の改ざんが容易であったり、スクリプト内部で実行されたコマンドまでは履歴が残らなかったりといった問題がある。

HP-UXの標準監査機能、audsys
そこでHP-UX 11i v3以降では、監査機能「audsys」が標準で利用可能となった。この監査機能は実は従来から提供されていたものだが、利用するにはHP-UXを高信頼性モードで運用する必要があり、敷居が高いという難点があった。11i v2以降では、高信頼性モードでなくてもaudsysを利用可能となっている。(11i v2ではStandard Mode Security Extensionsのインストールが追加で必要)

audsysは「システムコールレベルで監査ログを記録する」機能である。上述した各種コマンドのようにシェル上で実行されたコマンドの履歴を記録するのではなく、HP-UX上で実行されたすべてのプロセスのシステムコールをリアルタイムに記録できる。そのため、例えばスクリプト内部で実行された処理は記録できない、といった“取りこぼし”は発生しない。また、監査ログはバイナリ形式で記録されるため、改ざんは困難である。

システムコールをログに記録するとなると、パフォーマンス上のオーバーヘッドを気にする向きもあるだろう。しかしaudsysはHP-UXのカーネルレベルに組み込まれた標準機能であり、複数の書き込みスレッドで監査記録を実行することで、オーバーヘッドはきわめて低く抑えられている。また、管理者が必要とする項目だけをログ記録するフィルタ機能を備えるほか、監査ログの自動ローテーション機能も備える。

さらにHP-UX 11i v3以降に搭載されているaudsysでは、監査対象とするシステムコールのリストを「プロファイル」としてまとめて管理できる。例えば、あらかじめ用意されている「basicプロファイル」では、ログインやプロセス起動といった基本的な操作のみを記録する。このbasicプロファイルを指定してaudsysを実行することで、図1のようなイベント実行履歴が記録される。 
Event:                                  execve
Time:                                   Wed Nov 21 17:22:43 07 JST
PID:                                    8025
PPID:                                   8006
User/Grp:                               109/20(test/users)
Groups:                                 20(users)
Effective privileges:                   "BASIC"
Permitted privileges:                   "BASIC"
Retained privileges:                    "BASIC"
Compartment id:                                         2
Audit tag:                              0:        -1:test:200711210821
TTY:                                    unknown
Return1:                                0
Arg 1 (file info):
given path = "/usr/sbin/getrules"
inode = 12671
device = 64, 0x3
mode = 0100555
owner uid/gid = 2/2
type = regular file
Arg 2 (argument list):
arg #1 = "/usr/sbin/getrules"
arg #2 = "init"
Other (file info):
inode = -1
図1:audsysによるexecイベントの実行履歴

こうしたaudsysによる監査ログの表示や設定作業は、Webベースの管理ツールであるHP SMH(Systems Management Homepage)にも統合されており、Webブラウザ上から監査機能の設定やログの表示を行うこともできる。
HP SMHでのaudsys設定の例
図2:HP SMHでのaudsys設定の例

このように、audsysの特徴は、実運用環境でもシステムや管理者に大きな負担を掛けずに利用できる点だ。HP-UX 11i v3ベースのシステムさえあれば、HP SMHにて簡単な設定を行うだけで、十分な機能性と情報量を備えたセキュリティ監査機能が直ちに手に入るのである。

関連資料
 
HP-UX システム管理者ガイド(vol 4):セキュリティの管理 (PDF 2.10MB)
 

トップへ 次のページへ

本ページの内容は執筆時の情報に基づいており、異なる場合があります。
印刷用画面へ
プライバシー 本サイト利用時の合意事項 ウェブマスターに連絡
© 2008 Hewlett-Packard Development Company, L.P.