Top Story 1 （7）
リスクをいかにマネジメントしていくか
安心安全な企業経営を支えるITガバナンス

「富士通ESA」に基づいた
「Systemwalker Centric Manager」による証跡管理

ログの分析・監査

各システムから収集したログは、システム運用やセキュリティが、あらかじめ取り決めた指針やセキュリティポリシーに則った運用がなされているかどうかを分析することが必要となります。詳細な確認が必要な場合には、ログを横断的に検索することで、容易に調査することが可能です。調査の結果は監査レポートとして出力することが可能です。
ログの分析は、日常的に行っておくことが重要です。日毎、曜日毎、時間帯毎の処理内容を集計し、傾向を把握しておくことで普段とは違う事象（異常の兆候）を検出することができます。こうした分析を定期的に行うことで情報システムの状態を監査できます。
「Systemwalker Centric Manager」が提供する監査ログ分析機能は、「Interstage Navigator」の強力な集計・検索エンジンを利用することで、複数のログに対して、複雑な条件での一括検索と集計を可能にします。また、監査ログ分析機能として求められる以下の機能を実装・提供しており、ログの分析に関する様々な要件に柔軟かつ確実に対応できます。

ログ間の出力形式の違いを吸収し、ログを正規化
検索条件の標準テンプレートを提供。テンプレートは必要に応じてカスタマイズ可能
集計レポートの標準テンプレートを提供する。テンプレートは必要に応じてカスタマイズ

一連の処理を記録した複数のログを関連付けて分析する場合、利用者のユーザーIDやIPアドレスが共通の検索キーとなります。しかしながら実際にはログ間の関連付けが困難な場合があります。
一般的なWeb3階層システムでは、アプリケーションサーバがDBサーバにアクセスするときは、利用者のユーザーIDではなく、アプリケーションサーバ固有のIDでアクセスしています。これは、DBシステムへのログイン回数の削減といった性能面からの要求によるものですが、これによりDBサーバが出力する監査ログには、利用者を特定する情報がありません。
この問題を解決するには、アプリケーションサーバとDBサーバとの間で連携して、利用者のユーザーIDを受け渡すようにする必要があります。富士通のミドルウェアでは、アプリケーションサーバである「Interstage Application Server」とDBサーバである「Symfoware」が連携してユーザーIDを受け渡しており、DBサーバの監査ログには利用者のユーザーIDが正しく格納され、複数のログを関連付けた分析を可能としています。

[図8]3階層システムにおける問題点と解決方法

これまで、フロント側にオープンシステム、バックエンドにGSシステムのある構成では、GSログを収集・管理することができず、複数ログを関連付けた分析は困難でした。「Systemwalker Centric Manager」ではGSシステムと連携し、セキュリティログ、アプリケーション実行ログを収集することにより、フロント側からバックエンド側までログ全体の横断検索を可能にしています。
また、PC上のアクセスログだけでなく、「ETERNUS NR1000F」シリーズと連携しファイルサーバのアクセスログを収集することで、PCからファイルサーバへのログの分析も可能としています。
これらにより、「Systemwalker Centric Manager」では、システム全体のログ分析が可能になります。

以上のように証跡管理アーキテクチャーを実装した、「Systemwalker Centric Manager」を中心とした富士通ミドルウェアを導入することで、安全・確実な監査証跡の管理と分析が可能になり、情報システムのセキュリティ管理のPDCAサイクルを効率よく回すことができるようになります。
今後も富士通では、多彩な証跡管理ソリューションをご提供できるように、機能エンハンスに取り組んでまいります。