サーバーリソースの集約や柔軟性の確保を目的に仮想サーバーの採用はごく一般的になっています。導入コストや設置スペースを削減できる点も仮想サーバーならではのメリットです。
しかし、仮想サーバーの場合、仮想基盤という新たな管理対象レイヤーが発生することにより、物理サーバーとは異なるログ管理・証跡管理の考え方が必要になります。
そこで本記事では、サーバーの仮想環境に関するログ管理・証跡管理のポイントや留意点をご紹介します。
仮想環境においては、物理マシン上にハイパーバイザーと呼ばれる仮想環境を提供するソフトウェアを配置し、ハイパーバイザー上に複数の仮想マシンを起動させる構造になります。
そのため、物理サーバー上にシステムを配置する方式と比較し留意すべき点が異なります。
仮想環境においては、ハイパーバイザーと呼ばれるミドルウェアが、その上で動作するサーバーリソースを動作させるための仮想的なハードウェアリソースを提供します。そのため、仮想環境自体の設定変更を行う仮想基盤を管理するオペレーションが発生します。
仮想基盤の管理者は管理コンソールを使用して、仮想サーバー自体の作成・起動・停止・削除といった操作や仮想サーバーが所属するネットワークの設定、ストレージの管理などを行うことができます。そのため、仮想基盤の管理者権限による不正操作や誤操作などがシステムに対して非常に大きな影響を与えてしまうことから、ログ管理・証跡管理を行ってしっかりとリスク低減を行う必要性があります。
留意すべき点は、仮想基盤を提供するソフトウェアの中には、管理コンソールを使用して行った変更内容がわかりやすくログとして保管される仕様になっていない場合があることです。また、大量のシステムログの中に管理者の操作によって発生したイベントが含まれている場合もあります。
GUIで提供される管理コンソールとは別に、APIやコマンドを使って同等の操作が行えるインターフェイスがあるシステムは、対象のインターフェイスに関わらずログとして保管される仕組みである必要があります。
現状利用している仮想基盤製品において、監査に十分耐え得るログの取得が難しい場合には、システムの機能を利用するのではなく、別の方法を考える必要があります。
仮想環境は、ハードウェアとしては仮想化されているものの、論理的には物理マシンと同等であり、仮想環境でも通常のOSやアプリケーションが利用できます。そのため、仮想マシン上のログ管理については一見留意点がないと思われるかもしれません。
しかし、仮想環境固有の機能によりログ管理の本来の役割を正しく発揮できなくなる場合があるため注意が必要です。
その一つが、スナップショットという機能です。スナップショットとは、仮想マシンの特定の時点の状態を保存しておき、いつでもその時点の状態に戻すことができる機能です。
バックアップ&リストアと比較すると、保存や元に戻すことに要する時間が短時間であること、スナップショットの取得に仮想マシンを停止する必要がないことなどから、仮想環境の切り戻し手順としては非常に有益ですが、ログ管理の観点からすると注意が必要です。 なぜなら、過去に取得したスナップショットに仮想マシンの状態を戻すと、スナップショット取得以降に発生したログは消失してしまうからです。
仮想環境におけるログの完全性を担保するには、各仮想マシン上にログを保存するのではなく、スナップショット等の影響を受けない環境のログを集約するといった工夫が必要になります。
3つ目に挙げられるポイントは、運用面の特長です。仮想環境の管理者は、仮想基盤の管理操作と、仮想基盤上に展開された仮想マシンの管理操作を透過的に行います。
そのため、管理者の操作ログを保管・点検する場合には、仮想基盤に対する変更操作や仮想マシン上の操作を横断的にチェックできるような仕組みが必要です。 仮想マシンのログ、仮想基盤のログがバラバラに出力されると、このような視点でのチェックが困難になります。
上記のポイント・留意点を踏まえた一つの解決策として、操作を行っているユーザーの視点でログを取得するというアプローチがあります。例えば、管理者が行っているデスクトップを録画するような方法が該当しますが、これには以下のようなメリットがあります。
これらの背景から、仮想環境での管理者の操作に関するログ管理・証跡管理では、ユーザー視点でのログの取得が有効です。
弊社エンカレッジ・テクノロジでは、システム証跡監査ツールの「ESS REC」を開発・販売しています。ESS RECは、システムの特権アクセス時の操作と操作環境を克明に記録・監視するとともに、高いトレーサビリティを確保します。
おかげさまで様々な業種・業態にご採用いただいており、14年連続市場シェアNo.1(※)のデファクトスタンダードです。IT統制の強化や監査対応、システム操作のセキュリティ対策に課題をお持ちの方はぜひご検討ください。
※出典:内部脅威対策ソリューション市場の現状と将来展望 2023年度版【サイバーセキュリティソリューション市場19版目】デロイト トーマツ ミック経済研究所株式会社 及び同社における過去の調査結果