特権セッションの監査証跡は、セッション中の全アクティビティを追跡した時系列のイベント記録です。特権セッションの監査レコードには、発生したイベント、イベントを行ったユーザーまたはアプリケーション(IPアドレスやデバイスの種類など)、セッション中に実行された操作、イベントの日付と時刻が記録されます。
ITセキュリティにおける包括的な監査証跡の必要性
アクセスが監視されていない状態や不正アクセスは、多くのシステムで深刻な問題をもたらします。特権ユーザーのアクティビティを網羅的に把握することは、組織に損害を与えかねない異常な操作を特定・阻止するために欠かせない対策です。このため、ユーザーに付与された特権、その特権で実行された操作、その操作がIT環境に与える影響をドキュメント化する必要があります。しかし、ユーザーアクティビティの従来の記録方法は、最適とは言えません。
監査証跡は、疑わしい行動を特定する際に役立つ有益な記録です。リアルタイム監視や自動生成される監査ログを活用することで、システム実装上の問題、運用上の問題、異常または不審なアクティビティ、その他のシステムエラーを特定できます。
また、さまざまなコンプライアンス基準(HIPAA、SOX、PCI DSSなど)では、特権アカウントで実行された操作の網羅的な監視・記録が組織に求められています。
定期的な内部監査の実施と即時アラート通知の設定
PAM360の監査証跡は、特権アカウントによる重要なアクティビティ、ログイン試行、スケジュール済みタスクや完了したタスクに関するすべてのイベントを即座に記録します。このデータにより、「誰が、いつ、どこで、なぜ、どのリソースやファイルにアクセスしたのか」が明確になり、定期的な内部監査およびフォレンジック調査への対応が容易になります。
管理者のみが他のユーザーが実行したすべての操作を確認できます。通知機能を通じて、ユーザーのアクティビティに関する通知をユーザー自身に送信できます。また、PAM360では、特定のイベントが発生した際に、指定した受信者にメールで即時通知できます。
改ざん防止機能を備えた監査証跡によるコンプライアンスの実現
HIPAAやSOXなどの法律・規制では、電子記録の適切な管理や、コンプライアンスや監査に対応するための仕組みの導入が義務付けられています。PAM360で生成される変更不可能な監査ログを監査員に提供することで、コンプライアンスを実証できます。
SIEMおよびネットワーク管理システムへのSyslogメッセージとSNMPトラップの送信
組織でSIEM(セキュリティ情報およびイベント管理)ツールを導入している場合、PAM360と統合することで、PAM360で発生したイベントをSyslogメッセージとしてSIEMツールに送信できます。さらに、PAM360とネットワーク管理ツールを統合すれば、SNMPトラップも受信可能です。
これらのツールを使用すれば、特権アクセスに関連するデータと、企業全体で取得した他のイベントデータを関連付けた分析が可能になります。この連携や相関分析により、セキュリティ担当者は、特権アクセスの全体像を把握し、疑わしいアクティビティの検知・対応につながるインサイトを獲得できます。
監査ログの定期的な消去によるストレージ容量の確保
組織の規模が大きいと、取得される監査ログの量は当然速いペースで増加していきます。PAM360では、指定した日数より古い監査ログを消去することで、ディスクの空き容量を確保できます。また、このような古い監査ログを必要に応じてローカルドライブに格納し、移動・削除することも可能です。