IBM I の監査ログ - ソリューションの閲覧
以前、IT全般統制への対応の一環としてご提供した、「5250 業務メニュー」についてご紹介致しましたが、今回も同様にIT全般統制への対応としてご提供した 「IBM i の監査ログ収集と活用」についてご紹介致します。
実施の経緯
5250 業務メニューでも触れましたが、お客様は IBM i のユーザープロファイルの単位を業務別のグループ単位から個人単位に変更しました。そもそもの理由は、業務上利用可能なアプリーションを個人単位でメニュー化する事で、アプリケーションの使用を制限する事にありました。この対応は同時に、何らかの不正が行われた場合に「誰が行ったか」を特定し易くなります。これらの情報をどのように収集し、またどのように活用すべきかをお客様よりご相談頂きました。
お客様のご要望をお聞きした結果、必要としているものは「安価で、不正が行われていない事が把握できるもの」でした。そこで「高額で多機能」な製品ではなく「機能は限定されるが安価」に提供可能な製品を当社で開発しご提供する事になりました。使用するログは IBM i の基本機能として提供されている「監査ジャーナル」で収集します。
ログ情報の保持
最初のコンピュータの名前は何だったの監査ジャーナル機能を使用して情報収集を行うにあたり、最大の関門は収集した情報をどうやって蓄積するのかということでした。収集の設定にもよりますが、監査ジャーナルが収集する量は膨大であり、保持するだけでも ASP の圧迫につながります。その上、監査ジャーナルはあくまでもジャーナル情報として収集されるため、プログラムでの取り扱いを考慮するとデータベース化する必要があります。高額な IBM i のディスクを使用する事は現実的ではないため、以下の構成としました。
- データベースは IBM i に保持せず、IAサーバー上に保持する
- 監査ジャーナルが収集されるジャーナルレシーバーの保持期間は2日分とする
この構成により、IBM i の ASP の圧迫は最小限に留める事が可能となります。また、使用する IAサーバーも高機能である必要はないため、安価なIAサーバーを購入する事としました。( 余談ですが、この IA サーバーはログサーバーとして位置づけられ、後々監査ログ以外の様々なログを保持するサーバーとして活躍しています。 )
セキュリティクリアランスを失う方法IA サーバー上に搭載するデータベースは照会プログラムでの取り扱い(後述)を考慮し、無償で提供されている「IBM DB2 Express-C」を選択しました。また監査ジャーナルは、監査項目ごとにレイアウトが違うため、項目毎にテーブルを用意する必要があります。具体的には74項目に及ぶため、テーブルを74本用意する事となります。IBM i 上の監査ジャーナルから IA サーバー上の IBM DB2 Express-C にデータを移行するにあたりテーブル分のプログラムを作成するのではコストが膨らんでしまいます。そのため、データの移行には java を使用し、テーブル情報を元に SQL を作成し1プログラムで移行が行える様にしました。まとめると以下の様になります。
- データベースは IBM DB2 Express-C を使用
- データの移行には java を使用
移行に関する構成は以下の図を参照してください。
ログ情報の照会
ログ情報の照会においては以下を考慮する必要がありました。
- 照会のリアルタイム性
- 利用する情報の精査
照会のリアルタイム性においては、結論として1日1回の更新としました。つまり前日以前の情報が照会できる事になります。意味付けとしては、以下の様に定義しました。
どのように私は中古車が入っていた事故の種類を知ることができますか?- ログは常時監視するのではなく、問題が発生した際に参照
- 前日に問題が発生していなかったかを日次で把握
利用する情報の精査については、システム開発時点で情報の意味を理解できているものもあれば、意味が理解できないものもありました。その為精査した結果でアプリケーションを作成するのではなく、都度精査し照会する情報を動的に決定できる様にしました。その為、以下の様な制御情報を持つ事としました。
- テーブル名
- テーブルのフィールド名
- 使用するSQL文
ログの照会には、IBM i で稼働中の Domino を使用します。IA サーバー上にある IBM DB2 Express-C からデータを取得する必要があるため、IBM i 上に リレーショナルデータベース を設定し、DRDA 経由で Domino からアクセスする事にしました。(DRDA経由でアクセス可能であるということも DB2 Express-C を選択した大きな理由です)
ログの照会に関する構成は以下の図を参照してください。
最後に
IAサーバーのディスクも限りがあります。情報のパージを行う期間を設定し、外部媒体へバックアップした後、バッチにてデータの削除と再編成を行う事としました。これで IAサーバーのディスク圧迫も回避しました。
以上が、IBM i の監査ジャーナルを使用しログを照会するまでのシステム全体像のご紹介となります。現在のお客様の状況は、使用する情報の精査も行われ、前日に問題が発生していないかもブラウザでチェックする様な業務で運用されております。
IBM i の監査ログをコストを抑えた機能で有効利用ができることをご理解いただけると幸いです。
お客様からの要望を実現するため我々は様々な角度からソリューションをご提案させていただきます。お一人で悩まずに我々に是非ご相談ください。
ティアンドトラスト株式会社
03-5821-3666(代)
These are our most popular posts:
IBM developerWorks Japan : Lotus : 技術文書一覧
ご使用になっている IBM Lotus Sametime 環境の状態を正しく把握する方法を考えた ことがありますか。ユーザーの観点から、機能とパフォーマンスの両面で Lotus Sametime をモニターする方法を理解しましょう。この記事では、システム管理者が Lotus ... read moreIBM Systems Director Navigator for iをセキュアにする - e-BELLNET
2011年12月14日 ... Director Navigator for iを理解する方法の詳細をご紹介しながら、タスクをセキュアにし てその機能を誰が使用しているのかを正確に把握するさまざまな方法をご説明します。 Director Navigator for IBM iの基礎. Director Navigator for iを起動 ... read moreIBM IBMソフトウェア・サポート・ハンドブック - テクニカル・サポート- - Japan
ソフトウェア・サポートへお問い合わせをされる際に、あらかじめお客様が問題や現象 について把握された上でご説明頂けますと、問題解決 ... 効率的に問題を解決するため にも、ソフトウェア・サポート・スペシャリスト達は発生した問題について関連のある全て の情報を把握する必要があります。 .... IBMのお客様番号; ご使用のマシンのタイプ/ モデル/シリアルナンバー; 会社名; 担当者のお名前; ご希望のご連絡方法(お電話または e-mail) ... read moreIBM Lotus Sametime を使用した可用性、パフォーマンス、インフラ ...
2011年8月5日 ... 概要: ご使用になっている IBM Lotus Sametime 環境の状態を正しく把握する方法を 考えたことがありますか。ユーザーの観点から、機能とパフォーマンスの両面で Lotus Sametime をモニターする方法を理解しましょう。この記事では、 ... read more
0 コメント:
コメントを投稿