データ プライバシー:データ難読化の構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analyticsでデータ難読化を構成する手順について説明します。単一の導入環境では、すべてのコア サービスのデータ プライバシー ソリューションに関する構成が同じである必要があります。すべてのDecoderとLog Decoderで、同じハッシュおよびソルトを使用してください。

開始する前に

データ難読化が機能するためには、ユーザー アカウントを構成する必要があります。次のトピックの説明を参照してください。データ プライバシーで使用するためのユーザー アカウントの構成.

Decoderハッシュ アルゴリズムとソルトの構成

データ プライバシー ソリューションの機能の一部として提供されるハッシュ値の生成は、DecoderおよびLog Decoderがメタ キーを作成するときに実行されます。両サービスには、特定のハッシュ アルゴリズムもソルト値も指定されていないメタ キーに適用するデフォルトの設定があります。Security Analyticsのデフォルトの初期値は、ハッシュ アルゴリズム(SHA-256)およびソルト(なし)です。 

注:Security Analytics 10.4以前では、下位互換性のためにSHA-1ハッシュ アルゴリズムの使用がサポートされています。RSAでは、SHA-1アルゴリズムを使用することは推奨しません。このアルゴリズムは、Security Analytics 10.5以降では使用できません。

デフォルトの設定を変更する場合、[サービス]の[構成]ビュー>[データ プライバシー]タブ、またはSecurity Analyticsサービスの[エクスプローラ]ビュー内の次のノードで編集できます。

  • /decoder/parsers/transforms/default.type

    type指定なしのtransform属性が定義されているメタキーで使用されるアルゴリズム。 サポートされるアルゴリズムは、duplicatesha-256です。

  • /decoder/parsers/transforms/default.salt

    ハッシュ(sha-256)する値の先頭に付加するソルト値。この値はオプションです。空のソルトも有効であり、ソルトなしのハッシュが生成されます。デフォルトではソルトは定義されていないため、環境に固有のソルトを作成できます。一般的に、ソルトが長く、複雑であるほど、セキュリティが向上します。最大60文字のソルトまで、大きな影響なく使用できます。また、16文字以上にすることをお勧めします。

デフォルトのハッシュ アルゴリズムとソルトを編集するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、DecoderサービスまたはLog Decoderサービスを選択し、[表示]>[構成]を選択して[データ プライバシー]タブをクリックします。

  3. ハッシュ アルゴリズムとソルトの構成]セクションで、type指定なしのtransform属性が定義されたメタ キーに対して使用する[ハッシュ アルゴリズム]として sha-256を選択します。(2番目のアルゴリズム、duplicateは、管理者がネットワーク内で期待されるハッシュ処理が行われていることを検証する場合に使用します)。
  4. (オプション)[ソルト]フィールドで、ハッシュするすべての値に付加されるソルト値を入力します。この値はオプションです。空のソルトも有効であり、ソルトなしのハッシュが生成されます。デフォルトではソルトは定義されていないため、環境に固有のソルトを作成できます。一般的に、ソルトが長く、複雑であるほど、セキュリティが向上します。セキュリティ上のベスト プラクティスとして、ソルト値は、100ビット以上または16文字以上にする必要があります。メタ キーごとに異なるソルトが必要な場合、後述の例3で示すように、インデックス ファイルを構成する必要があります。 
  5. Apply]をクリックします。

    新しい設定がすぐに反映されます。 

Languageキーの構成

Security Analytics 10.5以降では、データ プライバシーを促進するために、Security Analytics CoreのLanguageに複数のLanguageキー属性が追加されています。各DecoderまたはLog Decoderのカスタム インデックス ファイルで、これらの属性を編集できます。カスタム インデックス ファイル(たとえば、index-decoder-custom.xml)は、[サービス]の[構成]ビューの[ファイル]タブで編集できます。インデックス ファイルを修正した後、下の例に示すように、決められた順序でのサービスの再起動が必要です。

自社のデータ プライバシー要件に基づいて、次のkey属性を使用して保護対象の個々のメタ キーを構成します。

  • protected

    この属性を指定した場合、Security Analyticsは値を保護対象とみなし、値の公開を厳密に管理します。protected属性を伝播する場合、Security Analyticsは、ダウンストリームの信頼済みシステムでも同様に値を処理することを保証します。保護対象の値を作成するすべてのサービス(つまり、DecoderまたはLog Decoder)、およびSecurity Analyticsコア サービスの外部で信頼済みアクセス(SDK(Software Development Kit)クエリー/値、集計)を提供するすべてのサービスにこの属性を追加します。このルールに対する例外は、インデックス ファイルが指定されていないBrokerで、属性を追加する必要がない場合です。 

  • token

    この属性は、このキーの値が別の値の代用であり、視覚的に意味のある内容でないことを指定します。token属性は情報提供用であり、主として値をより使いやすく見やすい形式で表示するUIエレメントのためのものです。

  • transform

    keyの子エレメントです。これが指定されたメタ キーでは、すべての値を変換する必要があり、また変換結果の値は別のメタ キーに保存されることを意味します。transformエレメントは、DecoderおよびLog Decoderでのみ必要であり、それ以外のコア サービスに対して指定された場合は情報提供のためのものです。 transformエレメントには、次の属性と子エレメントがあります。    

                             
名前タイプ説明オプションまたは必須
destination 属性変換後の値を保存するメタ キーの名前を指定します。必須
type 属性適用する変換アルゴリズム。指定しない場合、/decoder/parsers/transforms/default.typeの値が使用される。オプション
param 子エレメント名前/値のペアを指定します。各paramエレメントに、必須の属性であるnameと、子テキストの値を指定します。唯一サポートされるparamは、キーに固有のsalt値を指定するために使用されます。指定しない場合、/decoder/parsers/transforms/default.saltの値が使用される。オプション

例1

DecoderまたはLog Decoder上で、usernameをprotectedに指定し、デフォルトのアルゴリズムおよびソルトでハッシュした値をusername.hashに保存します。

<key name="username" description="Username" format="Text" protected="true"><transform destination="username.hash"/></key>

例2

Concentrator上で、usernameをprotectedに指定し、username.hashをtokenに指定します。

<?xml version="1.0" encoding="utf-8"?> <language level="IndexNone" defaultAction="Auto"> <key description="Username" format="Text" level="IndexValues" name="username" protected="true"/> <key description="Username Hash" format="Binary" level="IndexValues" name="username.hash" token="true"/> </language>

例3

DecoderまたはLog Decoder上で、usernameをprotectedに指定し、指定したアルゴリズムおよびソルトでハッシュした値をusername.binに保存します。

<key name="username" description="Username" format="Text" protected="true"> <transform destination="username.bin" type="sha-256"> <param name="salt">0000</param> </transform></key>

コア サービスのユーザー ロールごとにメタおよびコンテンツの可視性を構成

メタおよびコンテンツへのユーザー グループのアクセスは、[サービス]の[セキュリティ]ビューで、個々のBroker、Concentrator、Decoder、Log Decoder、Archiverサービスに対して構成可能です。管理者は、[設定]タブでSDKメタ ロールの機能を有効化し、メタ ロール フィルタのタイプを指定します。[ロール]タブの表示にメタ キーのロール権限が追加されます。この権限は、特定のグループに対して選択したメタ ロールをブラック リストまたはホワイト リストに登録する効果があります。

次の表は、フィルタのオプションと、各オプションを表す数値を示しています。数値は、フィルタ無効化(0)、フィルタ タイプ(1から6)のいずれかです。system.rolesノードでメタおよびコンテンツの可視性を手動で構成する場合を除き、数値を把握する必要はありません。

                                                          
system.rolesノード値[設定]タブのオプションセッション内のメタ データセッション内のパケット
0フィルタなし。
メタ キーごとに権限を定義するシステム ロールは無効です。
表示表示
1メタとコンテンツのホワイトリスト。
デフォルトでは、メタとパケットは両方とも表示されません。ユーザー グループごとに個別のSDKメタ ロールを選択すると、ユーザーが、そのSDKメタ ロールのメタとパケットを表示できます。
非表示
選択したもののみ表示
非表示
選択したもののみ表示
2メタのみのホワイトリスト。
デフォルトではパケットが表示され、メタは表示されません。ユーザー グループごとに個別のSDKメタ ロールを選択すると、ユーザーが、そのロールのメタを表示できます。
非表示
選択したもののみ表示
表示
3コンテンツのみのホワイトリスト。
デフォルトではメタが表示され、パケットは表示されません。ユーザー グループごとに個別のSDKメタ ロールを選択すると、ユーザーが、そのロールのパケットを表示できます。
表示非表示
選択したもののみ表示
4メタとコンテンツのブラックリスト。
デフォルトでは、すべてのメタとパケットが表示されます。ユーザー グループごとに個別のSDKメタ ロールを選択すると、ユーザーには、そのロールのメタとパケットが表示されません。
表示
選択したもののみ非表示
表示
選択したもののみ非表示
5メタのみのブラックリスト。
デフォルトでは、すべてのメタとパケットが表示されます。ユーザー グループごとに個別のSDKメタ ロールを選択すると、ユーザーには、そのロールのメタが表示されません。
表示
選択したもののみ非表示
表示
6コンテンツのみのブラックリスト。
デフォルトでは、すべてのメタとパケットが表示されます。ユーザー グループごとに個別のSDKメタ ロールを選択すると、ユーザーには、そのロールのパケットが表示されません。
表示表示
選択したもののみ非表示

ユーザーへの表示内容は、3つの要因によって決まります。

  • SDKメタ ロールの設定。
  • ユーザーが属するグループに対して構成されたメタ キー表示制限。
  • 分析中のセッションのメタ キー。

次の例は、SDKメタ ロール構成と、グループに設定されたメタ キー表示制限によりどのような結果が表示されるかを示しています。

構成:

  • SDKメタ ロールの設定は、[メタとコンテンツのブラックリスト]です。このオプションが選択された場合、すべてのメタとコンテンツ(パケットとログ)がデフォルトで表示されます。
  • 管理者は、アナリスト グループに機微データ(usernameなど)が表示されないようメタ キーの表示制限を構成しました。
  • usernameメタ キーが含まれるセッションのパケットとログは、アナリストには表示されません。

結果:アナリスト グループのメンバーであるユーザーがセッションを調査します。結果は、セッションのコンテンツによって異なります。

  • セッション1には、ipethhostfile. というメタ キーが含まれます。このセッションにはusernameが含まれないため、セッション内のすべてのパケットとログが表示されます。
  • セッション2には、iptimesizefileusernameというメタ キーが含まれます。このセッションにはusernameが含まれているため、セッション内のパケットとログはいずれも、アナリストには表示されません。

DecoderまたはLog Decoderでメタおよびコンテンツの表示制限を構成するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Broker、Concentrator、Decoder、Log Decoder、Archiverのいずれかのサービスを選択し、ic-actns.png[表示]>[セキュリティ]を選択して[設定]タブをクリックします。

  3. フィルタ方法(ブラックリスト、ホワイトリスト)とコンテンツ タイプ(メタとコンテンツ、メタのみ、コンテンツのみ)の組み合わせから1つのオプションを選択し、[適用]をクリックします。

  4. ロール]タブをクリックし、SDKメタ ロール権限設定の指定に従って、コンテンツを許可(ホワイトリスト)またはコンテンツをブロック(ブラックリスト)するロールをクリックします。

    選択したロールのロール権限が表示され、SDKメタ ロール権限(たとえば、sdk.meta.action)がロール権限のリストに追加され、選択できるようになります。SDKメタ ロール権限設定でホワイトリストの1つを選択した場合、ユーザーに対してコンテンツを表示可能にするには、対応するSDKメタ ロール権限を選択する必要があります。SDKメタロール権限設定でブラックリストの1つを選択した場合、選択したSDKメタ ロール権限のコンテンツがユーザーに対して非表示になります。

  5. Apply]をクリックします。

    設定は即座に有効になり、DecoderまたはLog Decoderで処理される新しいパケットとログに適用されます。 

Decoderのディスクに書き込まれないメタ キーをParserごとに構成 

データ プライバシー責任者は、DecoderおよびLog Decoderで、ディスクに書き込まないメタ キーを構成できます。これを実現するには、インデックスおよびParserの構成で、メタ キーをTransientに設定します。

注:同じ機能が以前にLog Decoderで提供されており、Parserの設定時にtable-map.xmlファイルを修正することにより構成できました。現在は、[サービス]の[構成]ビューに統合されています。

個々のParserに対して選択したメタ キーをディスクに書き込まないよう構成するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、DecoderまたはLog Decoderサービスを選択し、ic-actns.png[表示]>[構成]を選択します。
  3. Parser構成]セクションでParserを選択し、次に[構成]ドロップダウン リストで[Transient]を選択します。

    構成を変更すると、赤い三角形が表示されます。

    SvsCfgGetParCfTb.png

  4. Apply]をクリックします。

    変更はすぐに反映されます。Parserは、Transientに構成されたメタ キーをディスクに保存しなくなります。

Previous Topic:詳細な手順
You are here
Table of Contents > 詳細な手順 > データ難読化の構成

Attachments

    Outcomes