6.3 セキュリティ監視フレームワーク
6.3.2 セキュリティ監視マネージャ
(1) ログ管理機能 ログ管理機能 ログ管理機能 ログ管理機能
(i) 機能説明 機能説明 機能説明 機能説明
「セキュリティ監視エージェント」における「ログ通信機能」からのデータサーバ・
イベントログを受け取り、これを保管する機能
「セキュリティ監視エージェント」における「ログ通信機能」からのオペコン・イ ベントログを受け取り、これを保管する機能
「セキュリティ監視エージェント」における「ログ通信機能」からのプロコン・イ ベントログを受け取り、これを保管する機能
「セキュリティ監視エージェント」における「ログ通信機能」からのWeb サーバ・
イベントログを受け取り、これを保管する機能
「セキュリティ監視エージェント」における「ログ通信機能」からのエンコン・イ ベントログを受け取り、これを保管する機能
「セキュリティ監視エージェント」における「ログ通信機能」からのプロコン保守 用コンソール・イベントログを受け取り、これを保管する機能
「セキュリティ監視エージェント」における「ログ通信機能」からの制御系保護専 用ファイアウォール・イベントログを受け取り、これを保管する機能
「セキュリティ監視エージェント」における「ログ通信機能」からの認証フレーム ワーク・イベントログを受け取り、これを保管する機能
「セキュリティ監視エージェント」における「ログ通信機能」からの秘匿通信フレ ームワーク・イベントログを受け取り、これを保管する機能
「セキュリティ監視エージェント」における「ログ通信機能」からのパケットログ を受け取り、これを保管する機能
「レポート生成機能」からの要求により、必要なログ情報を取り出す機能
「ログ改ざん検知機能」からの要求により、必要なログ情報を取り出す機能
(ii) 入力データ 入力データ 入力データ 入力データ
上述「6.3.1(4)(iii)出力データ」に同じ
(iii) 出力データ 出力データ 出力データ 出力データ
上述「6.3.2(1)(ii)入力データ」に同じ
155 155155 155
(2) イベント分析機能 イベント分析機能 イベント分析機能 イベント分析機能
(i) 機能説明 機能説明 機能説明 機能説明
複数の「セキュリティ監視エージェント」における「イベント通信機能」から、検 知された不正アクセス事象を受け取り、集められた分析データから総合判断して、
不正アクセスが検知された情報を「セキュリティ運用管理フレームワーク」へ通知 する機能
(ii) 入力データ 入力データ 入力データ 入力データ
上述「6.3.1(5)(iii)出力データ」に同じ
(iii) 出力データ 出力データ 出力データ 出力データ
不正イベント通知
表60 不正イベント通知
項目 内容
不正イベント通知 「セキュリティ監視マネージャ」で分析した結果の通知。
運用管理側で、管理者に表示などの手段を用い通知する。
(3) ポリシー連携機能 ポリシー連携機能 ポリシー連携機能 ポリシー連携機能
(i) 機能説明 機能説明 機能説明 機能説明
セキュリティ運用フレームワークにおける「セキュリティ・ポリシーエージェント 機能」からセキュリティ・ポリシー情報を受け取り、これを「フィルタ管理機能」
へ通知する機能
156 156156 156
(ii) 入力データ 入力データ 入力データ 入力データ
セキュリティ・ポリシー情報
表61 セキュリティ・ポリシー情報
項目 内容
機器情報設定 制御LANに接続されている機器リスト(IPアドレス)
制御系情報 LAN に接続されている機器リスト(IP アドレ ス)
ポリシー情報設定 ファイアウォール設定情報
フィルタ情報設定 Webサーバ対応不正アクセス検知パターン システムレベル不正アクセス検知パターン
ログ情報要求 表示・印刷したいログの種類、範囲などを指定して要求
(iii) 出力データ 出力データ 出力データ 出力データ
上述「6.3.2(3)(ii)入力データ」に同じ
(4) フィルタ管理機能 フィルタ管理機能 フィルタ管理機能 フィルタ管理機能
(i) 機能説明 機能説明 機能説明 機能説明
「セキュリティ運用管理フレームワーク」にて管理されている不正アクセス事象の 検知パターン情報を取得し、「ポリシー連携機能」からのポリシー情報を参照にし て、不正アクセス事象に対する、設定更新のフィルタ条件を「フィルタ設定機能」
へ送る機能
(ii) 入力データ 入力データ 入力データ 入力データ
上述「6.3.2(2)(iii)出力データ」に同じ
上述「6.3.2(3)(ii)入力データ」に同じ
157 157157 157
(iii) 出力データ 出力データ 出力データ 出力データ
検知パターン情報によるセキュリティ監査イベントのフィルタ条件
表62 セキュリティ監査イベントのフィルタ条件
項目 内容
機器情報設定 制御LANに接続されている機器リスト(IPアドレス)
制御系情報 LAN に接続されている機器リスト(IP アドレ ス)
ポリシー情報設定 通信が要求したサービス(宛先ポート)
発信元ポート
通信の発信元および宛先ポート
フィルタ情報設定 Webサーバ対応不正アクセス検知パターン システムレベル不正アクセス検知パターン
(5) ログ改ざん検知機能 ログ改ざん検知機能 ログ改ざん検知機能 ログ改ざん検知機能
(i) 機能説明 機能説明 機能説明 機能説明
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、ログ 情報を受け取り、これが改ざんされていないかどうかを検知し、改ざんされている 場合につき、「セキュリティ運用管理フレームワーク」に通知する機能
(ii) 入力データ 入力データ 入力データ 入力データ
上述「6.3.2(1)(ii)入力データ」に同じ
(iii) 出力データ 出力データ 出力データ 出力データ
ログ改ざん検知結果
表63 ログ改ざん検知結果
項目 内容
表示の先頭 指定した日付および時間より後のイベント。デフォルトはロ グファイルの最初のイベントの日付
表示の末尾 指定した日付と時間までのイベント。デフォルトはログファ イルの最後のイベントの日付
改ざん結果 改ざん検知された箇所
158 158158 158
(6) レポート生成機能 レポート生成機能 レポート生成機能 レポート生成機能
(i) 機能説明 機能説明 機能説明 機能説明
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、デー タサーバ・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生 成する機能
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、オペ コン・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成す る機能
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、プロ コン・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成す る機能
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、Web サーバ・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成 する機能
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、エン コン・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成す る機能
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、プロ コン保守用コンソール・イベントログを受け取り、必要なログ情報を抽出し、レポ ートとして生成する機能
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、制御 系保護専用ファイアウォール・イベントログを受け取り、必要なログ情報を抽出し、
レポートとして生成する機能
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、認証 フレームワーク・イベントログを受け取り、必要なログ情報を抽出し、レポートと して生成する機能
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、秘匿 通信フレームワーク・イベントログを受け取り、必要なログ情報を抽出し、レポー トとして生成する機能
「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、パケ ットログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能
「イベント分析機能」からの分析結果をレポートとして生成する機能
(ii) 入力データ 入力データ 入力データ 入力データ
上述「6.3.2(1)(ii)入力データ」に同じ
159 159159 159
(iii) 出力データ 出力データ 出力データ 出力データ
データサーバ・イベントログのレポート
表64 データサーバ・イベントログのレポート項目
項目 内容
表示の先頭 指定した日付および時間より後のイベント。デフォルト はログファイルの最初のイベントの日付
表示の末尾 指定した日付と時間までのイベント。デフォルトはログ ファイルの最後のイベントの日付
情報 あまり重大ではないイベント。主要なサーバサービスの オペレーションが成功したことを示す。
警告 必ずしも重大ではないが、この後問題を起こす可能性の あるイベント。例えば残りのディスク容量が少なくなっ た場合に、警告イベントがロギングされる。
エラー データの損失や機能の損失などの重大な問題。例えば Windows NT Serverの起動時にサービスがロードされな い場合などに、エラーイベントがロギングされる。
成功の監査 セキュリティアクセスの成功の監査。例えば、ユーザが システムにログインできた場合、成功の監査イベントが ロギングされる。
種類
失敗の監査 セキュリティアクセスの失敗の監査。例えば、ユーザが ネットワークにアクセスしようとして失敗した場合、そ の試行が失敗の監査イベントとしてロギングされる。
ソース イベントをログに記録すルータめのソース。アプリケー ション、システムコンポーネント、ドライバなど。
分類 ソースによって定義されたイベントの分類。例えばセキ ュリティイベントの分類には、ログイン/ログオフ、原 則の変更、特権の使用、システムイベント、オブジェク トアクセス、詳細の追跡、アカウント管理がある。
ユーザ 実施のユーザ名と一致する特定のユーザ。このフィール ドでは、大文字と小文字が区別されない。
コンピュータ 実際のコンピュータ名と一致する特定のコンピュータ。
このフィールドでは、大文字と小文字が区別されない。
イベントID 実際のイベントに対応する特定の番号
オペコン・イベントログのレポート
「データサーバ・イベントログのレポート項目」に同じ
プロコン・イベントログのレポート
「データサーバ・イベントログのレポート項目」に同じ