マイナンバー制度対応のログ管理ソフト「VVAULT AUDIT」を使ってみた

先日のイベントでもお話したマイナンバー制度の対策が少しずつ行われている昨今、社内システムを運用・管理しているシステム管理者の方々は非常に大変な状態かと思います。
マイナンバー制度に対する情報セキュリティ対策の一つとして共有フォルダーのアクセス履歴を管理する方法があります。
今回は、先日リリースされたOREGAさんのサーバーログ管理ソフト「VVAULT AUDIT」を使用し、触った分かった事をメモします。
導入を検討されている方、興味がある方は是非最後までお読みください。

2015.08.07 加筆
v1.1.0 がリリースされましたので、内容を反映します。

2015.08.08 加筆
DBデータ保存期間の挙動を加筆しました。

2015.11.04 加筆
v2.0及びVA Viewerがリリースされました。

ログ管理ソフト「VVAULT AUDIT」とは

VVAULT AUDIT(以後VAとする)は、ファイルのアクセス履歴や安全管理の証跡としてログを保存する、マイナンバー制度に対応したログ管理ソフトです。

VAはWindows ログの[セキュリティ]ログの一部を取得し、データベースに随時蓄積するため長期保存が可能※、またログのCSV出力が可能です
※Professional ライセンスの場合のみ
詳しくは、公式サイトの説明をご覧ください。
ログデータ取得の仕組み - VVAULT AUDIT

また、マイナンバー制度に関する情報を収集されたい方は下記リンクを参照してください。
マイナンバー制度とは

システム要件

インストール可能なOSは下記のとおり。
  • Windows Server 2008 R2以上
  • Windows Storage Server 2008 R2以上
注意点は、64bit版のみ、.NET Framework 4.5が必須です。

なお、サポート対象外だと思いますがWindows Home Server 2011でも動作しました

Pros and Cons

リリース当日からVAを使用して分かったPros(良い点)は下記のとおりです。
  • セットアップが異常に簡単
    ※v1.0.1ならば(迷うことなく)面倒な設定は不要です
  • フリーミアム(無料)、かつ、直に始められる
  • ログの一覧、詳細が見やすい
  • ログの検索が簡単、レスポンスが速い
  • CSV出力が可能
  • 統計結果が記載されたレポート メールが利用できる
  • ログはログ サイズではなく、日数で保存(Basicは最大2週間、Professional は無制限)
  • ログのアーカイブが可能(Professional ライセンスのみ)
Cons(悪い点)もあります。
※現在のバージョンv1.0.1までにおけるConsであり、今後改善されるかもしれません。
  • 管理者PCからVAの管理画面へリモート接続するには管理者PCにもVAをインストールするしかない
    ※ブラウザでは管理画面にアクセスできない(これはセキュリティを考慮し、あえて出来ないようにしているのかな?)

    →v2.0で対応されました!
  • データベースのデータ移動ができない

    小さい企業での利用

    小さい企業での利用はどうすればよいか?を考えてみました。
    ※私個人が考えた内容なので、他の方々の考え方と異なる場合があります。予めご了承ください。
    1. マイナンバーに関するデータを閲覧・登録・削除する実務担当者を一人選任する
      ※例えば、経理部の従業員
    2. 実務担当者を管理する管理者を一人選任する
      ※例えば、社長やxxx部の部長
    3. Windows Server 2012 R2に下記を実施
      1. VAをインストール
      2. 専用の共有フォルダー「マイナンバー制度」を作成
      3. この共有フォルダーのアクセスは実務担当者のみ(権限はFull)
      4. 共有フォルダーの設定[アクセス許可設定に基づいた列挙を有効にする]を有効にする
        ※昔は[アクセス・ベースの列挙](ABE)と呼ばれていました
    4. レポート メールの送信先は管理者を登録
    5. マイナンバーを管理するデータ群は全て上記共有フォルダーへ移動
    (一般的かもしれませんが)ここで大切な事は
    1. アクセス可能なユーザーを限定する
    2. アクセス可能な共有フォルダーを限定する
    3. レポートを管理者が定期的に確認する
    の3点です。
    日別レポート メールの内容
    管理者が受信する日別レポート メールは下記のようになります。

    インシデントが発生した時の作業

    運用開始後、
    • 日別レポートに「失敗イベント」が1件以上ある
    • 第三者から漏えい等の指摘・報告があった
    など、何らかのインシデントが発生した場合はVA ビューアーで下記を調査、結果をCSV形式でダウンロードし提出できるようにします。
    ユーザーを指定し調査する
    1. [被害を調べる]のアカウントIDに実務担当者のアカウント名を入力、検索する
      ※アカウントの一部でも検索可能です
    2. 実務担当者がファイル サーバーにアクセスした履歴を確認
      対象フォルダーを指定し調査する
      1. [使用者を探す]の対象ファイルに共有フォルダー名を入力、検索する
        ※共有フォルダー名の一部(例えば、ナンバー)でも検索可能です
      2. 共有フォルダーにアクセスされた履歴を確認
        ※更に詳細内容が知りたい場合は行をダブルクリックします
      対象フォルダーおよびユーザーを指定し調査する
      1. [詳細検索]の対象パスに共有フォルダー名、アカウントIDに実務担当者のアカウント名を入力、検索する
        ※どちらも一部文字で検索可能です
      2. アクセスした履歴を確認
      ログをCSV出力する
      全期間(12日間)を指定、かつ、特定ユーザー1名に絞った上でCSV出力してみた結果は下記のとおりでした。
      • データ サイズは、5.4MB
      • 行数は、79,500行
      (HWに依存しますが)約8万行を出力するのに数分かかったので、
      • 期間
      • ユーザー
      を絞った上で出力内容を事前に確認、その後CSVファイルを出力した方がよいかもしれません。

      気を付けたい事

      リリース当日から使って分かった事をメモします。
      なお、一部内容は既に改善されています。
      [セキュリティ]ログの最大ログ サイズ(v1.0.1で解決済み)
      初期バージョンv1.0.0では、[セキュリティ]ログの最大ログ サイズが小さいと警告が出ました。
      標準サイズは20MB、推奨は100MB以上なので設定を事前に変更しておきましょう。
      ※VAは[セキュリティ]ログを参照しているため
      最新バージョンv1.0.1はインストール時にログ サイズ変更のプロンプトが表示されるようになりました。
      初めて使うユーザーへの配慮(改善)され、個人的に喜んでいます!
      データベースのデータ保存先
      最新バージョン 1.0.0および1.0.1では、一度インストールしてしまうとデータベースのデータ保存先は変更できません
      インストール時に保存先が変更できるので、この時点でどのドライブにインストールするか事前に確認されることをお勧めします。
      ※今後のバージョンに期待したいところです。
      インストール場所の空き容量(v1.1.0で閾値が変更)
      インストール ディスクの空き容量が小さすぎるとVAから警告が出力されます。
      Basic ライセンスの場合はログは最大2週間、数GBの空き容量があれば問題はありませんがWindows Updateなどによってはアラート メールが一日に何度も送信され、不慣れな管理者は困ってしまうかもしれません。
      インストール時にアプリケーションとデータベースのインストール先を指定できるので、インストール先は慎重に決めてください。

      なお、記録するログデータベースとアーカイブデータサイズの目安は下記リンクから確認できます。
      データ領域設計の目安 - VVAULT AUDIT
      v1.1.0から、ディスクの空き容量を警告する閾値を「残り10GB」→「残り1GB」に変更されました。
      VVAULT AUDIT リリースノート v1.1.0
      管理者PCからファイルサーバーのVAを管理したい
      現行バージョン(v1.0.1)では、管理者PCにもVAをインストールします。
      管理者PC上でVAを起動、接続先を[サーバー名:20001]に変更します。
      注意点として、ファイル サーバーのファイアウォールが有効な場合は受信設定が必要になります。
      受信側TCP 20001を許可させましょう。
      尚、ブラウザからアクセスできるか試してみましたが、残念ながら404が返ってきました。(http,httpsともに)

      管理者PCにはVA ビューアー(管理画面を表示するソフト)だけがインストールできるよう、OREGAさんに希望を出しておきました。
      今後のバージョンに期待したいところです。

      現在は、RemoteAppを使ってVVAULT AUDITを起動するようにしてみました。
      実際の使用者からも使いやすいとの感想が上がってきました。
      ※ITで喜んでもらえる事、これが一番モチベーションが上がります。

      v2.0からVA Viewerが提供されました。
      対応していただけたことに感謝!
      DBデータの保存はライブ1週間+アーカイブ2週間(Basicライセンス)
      Basic ライセンスの場合、DBデータの保存期間は最大2週間です。
      ※Professional ライセンスは制限が撤廃され無制限になります。

      下記画像を見ると約3週のログが保存されており、検索が可能でした。気になったのでカスターマーズ・スクエアで質問した結果、これは正常な動作との回答を頂きました。

      保存期間のカウント方法は、
      • 今週はカウント除外
      • 前々週と前週=アーカイブは最大2週間保存
      する仕様になります。

      再インストール・再アクティベーションについて

      テストを繰り返し行っていたところ、アクティベーションについていくつか疑問になる点があったのでOREGAさんが運営するカスターマーズ・スクエアで質問した結果をメモしておきます。
      空き容量のあるディスクへ再インストールしたい
      (空き容量の少ないドライブにVAをインストールしてしまい)別ドライブへVAをインストールし直したい場合は、下記手順を行います。
      1. VAを一度アンインストール
      2. VAを再インストール
        プログラムおよびデータベースのインストール先を空き容量があるドライブへ変更する
      VAは最大5回まで再アクティベーションが可能で、同一サーバーの場合はアクティベーション可能回数は減少しません
      OREGAさんが運営するカスターマーズ・スクエアで質問、回答を頂きました。
      ライセンスを他サーバーへ移行したい
      あまりないと思いますが・・・・
      Professionalライセンスを購入した後に他サーバーへライセンスを移行したい場合は下記手順を行います。
      1. 元となるサーバー
        • VAをアンインストール
        • Basicに戻す場合は、後述を参照
      2. 移行先のサーバー
        • VAをインストール
        • VAのアクティベーションを行う
      OREGAさんが運営するカスターマーズ・スクエアで質問、回答を頂きました。
      移行先のサーバーでVAをアクティベーションすると、アクティベーション可能回数が1つ減ります。ご注意ください。
      ライセンスをProfessionalからBasicへ戻したい
      こちらも基本ないと思いますが・・・
      ライセンスをProfessionalからBasicへダウングレードする方法はありません。
      どうしてもダウングレードする場合は、VAを再インストールしましょう。
      OREGAさんが運営するカスターマーズ・スクエアで質問、回答を頂きました。

      まずは使ってみてください

      VVAULT AUDITは無料ですから、すぐに使えます。
      マイナンバー制度のためだけに導入するのも良いのですが、日頃共有フォルダーがどのように使われているかを確認するいい機会ではないでしょうか。
      まずはVAを使ってみてください。

      ダウンロードは下記URLからどうぞ!
      http://vvault.jp/download/index.html
      スポンサーリンク

      スポンサーリンク