データ プライバシー:推奨構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analyticsに対して推奨されるデータ プライバシーの実装、およびSecurity Analyticsでのプライバシー機微データの露出を管理するためのいくつかの追加のユースケースについて説明します。管理者は、自社のデータ プライバシー要件を満足するようにSecurity Analyticsのホストとサービスを設定できます。データ プライバシーとデータ保存の両方の推奨構成があります。

データ プライバシーの推奨構成

データを難読化した上で最適な分析値を得るための推奨構成は、プライバシー機微メタ データを定義し、プライバシー機微メタ データの元の値と難読化(ハッシュ)した値の両方を、Decoder、Log Decoder、Concentrator、Brokerのディスク上に保持することです。

前提として、少数のメタ データ(約10個のメタ キー)のみを保護対象とし、FIPS 140準拠のハッシュ アルゴリズムを、元の値のリバース エンジニアリングを困難にするためのソルトとともに使用することを想定しています。推奨は、SHA-256と、16文字以上60文字以下のソルトの組み合わせです。

注:ハッシュ値は、デフォルトでバイナリ形式で格納されます。これは、レスポンス タイムを短縮するためであり、また、文字列形式で格納した場合と比べてデータベースのストレージ領域を節約できるからです。推奨の格納形式はテキスト/文字列です。

BrokerとInvestigationでは、元のデータと難読化されたデータがキャッシュ上に保持される場合があります。これは、データ プライバシー責任者がInvestigationを使用して難読化された値と元の値のマッピングを確認できるようにするためです。ダウンストリーム サービスでは、機微データの元の値をメモリ内処理での使用に制限することも可能です。これにより、ダウンストリーム システムのディスクに機微データが保存されなくなります。これは、ESAおよびMalware Analysisに該当します。

使用しないデータを削除するための推奨ソリューションは、製品標準の自動データ保存管理機能です。この機能を使用すると、特定の閾値に達したデータが自動的に削除されます。この方法を使用できるSecurity Analytics 10.5以降のコンポーネントは、Decoder、Log Decoder、Log Collector、Archiver、Malware Analysis、Incident Management、Reporting Engineです。Event Stream Analysisでは、手動の構成により、同様の自動的なデータ保存期間管理を実現できます。

キャッシュ上のデータを管理するために、Security Analyticsサーバは、Investigationで調査したイベントに関連するキャッシュを24時間ごとにクリアします。Brokerは、ローカルに格納されたキャッシュの定期的な削除を実行するように構成することも可能です。

データ保存構成のオプション

Security Analyticsでは、データ難読化を有効にした場合に、保存するプライバシー機微データに対してより強力な制限をかけられるよう、追加の機能を用意しています。

データ保存オプションを有効にした場合のデータ格納場所

次の表は、データ プライバシーなしのデフォルト構成でデータが格納される場所と、各データ保存オプションを有効にした場合のデータ格納場所を要約したものです。チェックマークは、プライバシー機微データがそのコンポーネントに格納されることを示しており、X印は、プライバシー機微データがそのコンポーネントに格納されないことを示しています。

                                                                                                                                                   
コンポーネントデフォルト構成データ保存オプション
 元のデータを格納元のデータとハッシュを格納
(推奨)
ハッシュのみを格納データを格納しない(すべてのメタデータは一時的)
取得
Decoder checkmark3.png checkmark3.png X X
Log Decoder checkmark3.png checkmark3.png X X
メタ集計
Concentrator checkmark3.png checkmark3.png X X
Broker checkmark3.png(キャッシュのみ) checkmark3.png(キャッシュのみ)X X
リアルタイム分析  
Investigation checkmark3.png checkmark3.png(キャッシュのみ)X X
Event Stream Analysis checkmark3.png X X X
Malware Analysis checkmark3.png X X X
Incident Management checkmark3.png X X X
レポート
Reporting Engine checkmark3.png checkmark3.png(オプション)X X
長期間の分析
Archiver checkmark3.png(オプション) checkmark3.png(オプション)X X
Warehouse checkmark3.png(オプション) checkmark3.png(オプション)X X
コンテンツ
Live該当なし該当なし該当なし該当なし
Fraud Analysis     
WebThreat Detection該当なし該当なし該当なし該当なし
エンド ポイント保護
ECAT該当なし該当なし該当なし該当なし
注:
「キャッシュのみ」は、機微データがBrokerまたはSecurity Analyticsサーバのキャッシュ上にあることを意味しています。データ保存期間の構成 では、自動または手動によるキャッシュのクリアについて詳しく説明しています。

「オプション」は、機微データは保存されるが、オプションの構成を使用して制限できることを意味しています。たとえば、機微データが格納される場所を制限するには、DPOによるレポートへのアクセスを無効化したり、保護対象の元のデータをArchiverに集約しないようにします。

オプション1:元のデータはディスクに保存せず、ハッシュのみを格納

管理者は、機微データの露出リスクが非常に高い場合は、機微データをディスクに保存することを止め、難読化された値のみを保存できます。このシナリオでは、DecoderおよびLog Decoder上でのパース中に生成されたメタ データは、メモリ上でのみ使用され、ディスクには書き込まれません。管理者は、DecoderまたはLog Decoder上で個別のメタ キーを「Transient」に構成でき、機微メタ データがディスクに書き込まれないようにできます。ダウンストリーム サービスでは元の値を認識できないため、難読化された値を使用して調査や分析を行う必要があります。

このデータ プライバシー スキームを構成するには、ハッシュによるデータ難読化を有効にする必要があります。DecoderまたはLog Decoder上で個別のメタ キーを「Transient」に構成し、元の値がディスクに書き込まれないようにできます。

  • 機微データに指定された元の値は、DecoderおよびLog Decoder上でのパース時にrawデータから抽出され、パース(Parser、Rule、Feed)中はシステムからアクセス可能になります。
  • Decoderは、機微データに指定したメタ キーの元の値を保存せず、元の値のハッシュを、イベントに関連するその他の機微でないメタ データとともに保存します。

このオプションの副作用として、一部の分析機能が制限されます。ご使用の環境のニーズに合わせて構成を行ってください。

  • すべての機微データを「Transient」に構成すると、、機微データはディスクに保存されなくなり、元の値を使用した分析は、パース(Parser、Rule,Feed)時にのみ可能です。
  • ESA(Event Stream Analysis)およびMalware Analysis システムは、それぞれ相関分析およびスコアリングを実行する時に難読化されたメタ値のみに依存することになります。
  • Reporting Engineは、機微でないデータと難読化された値からレポートを生成するよう制限されます。
  • データ プライバシー責任者は元の値を表示することはできませんが、構成されたハッシュとソルトを使用して、難読化された値が特定の既知の元データのものであるか否かを判別できます。

オプション2:元の値も難読化値も格納しない:非推奨

管理者は、露出のリスクが非常に高い場合に、元の値をディスクに一切保存しないよう構成できます。オプション1と同様に、このシナリオでは、DecoderおよびLog Decoder上でのパース中に生成されたメタデータは、メモリ上でのみ使用され、ディスクには書き込まれません。管理者は、DecoderまたはLog Decoder上で個別のメタ キーを「Transient」に構成でき、機微メタ データがディスクに書き込まれないようにできます。ダウンストリーム サービスでは元の値を表示できず、難読化されたデータを使用して調査や分析を行うこともできません。

このデータ プライバシー スキームを構成するには、DecoderまたはLog Decoder上で個別のメタ キーを「Transient」に構成し、元の値がディスクに書き込まれないようにします。

  • 機微データに指定された元の値は、DecoderおよびLog Decoder上でのパース時にrawデータから抽出され、パース(Parser、Rule、Feed)中はシステムからアクセス可能になります。
  • Decoderは、機微データに指定されたメタ キーの元の値は保存せず、イベントに関連する機微でないメタ データのみを保存します。

このオプションの副作用として、分析機能が大幅に制限されます。ご使用の環境のニーズに合わせて構成を行ってください。

  • すべての機微データを「Transient」に構成すると、、機微データはディスクに保存されなくなり、元の値を使用した分析は、パース(Parser、Rule,Feed)時にのみ可能です。次のトピックを参照してください。データ保存期間の構成.
  • すべてのダウンストリーム コンポーネントは、元の値も難読化されたデータも使用できません。
  • データ プライバシー責任者は、元の値も難読化されたデータも表示できません。

データ上書きオプション

オプション1:古いデータを継続的に上書きしてディスク領域を制限する

データを保持したい保存期間とそのために必要なディスク容量がわかっていれば、基盤となるハードウェアまたはパーティションをそのサイズに制限できます。ハード ディスク ドライブまたはパーティションのサイズを削減すれば、新しいデータで上書きする前に、書き込みに使用できる空き領域のサイズも制限されます。新しく取得されたデータにより、古いデータが継続的に上書きされます。いずれのソリューションを有効化する場合も、導入時に実行する必要があります。

このオプションには、次の副作用があります。

  • 一部のディスクを取り外すと、I/Oを分散するために使用可能なリソースの数が減るため、パフォーマンスが多少低下します。
  • パーティション サイズを小さくすると、パフォーマンスは多少低下しますが、ディスクの取り外しによるパフォーマンス低下に比べれば軽度です。

オプション2:階層型ストレージを使用して定期的にデータを上書きする

スケジュールを設定して自動的にデータを上書きする場合、階層型ストレージを使用するようにDecoderおよびConcentratorを構成できます。階層型ストレージ構成では、データベース ファイルがアプリケーションから削除された後、ファイル システムから削除される前にスクリプトを呼び出すメカニズムが提供されます。必要に応じて、ファイルを第2層のColdストレージに移動する(階層型ストレージ利用時の想定利用ケース)代わりに、スクリプトからCentOSのshredユーティリティなどを使用してファイルを上書きすることができます。このツールは、データベースが、Security Analyticsコア データベースが存在するXFSなどのジャーナル処理ファイル システムに格納されている場合、およびRAID論理ドライブ(Security Analyticsコア ホストが接続)上に格納されている場合は、効果が低下します。

その他のほとんどのSecurity Analyticsコンポーネントでは、このオプションを使用することはできません。これらのコンポーネントのデータは、階層型ストレージ メカニズムに対応していないデータベースに格納されています。この上書き方法を使用できるその他のコンポーネントは、レポートやアラートを個別のファイルとして保存するReporting Engineだけです。ただし、Reporting Engineのチャートはデータベースに格納されるため、この手法の影響を受けません。

オプション3:文字列およびパターン編集オプションを使用したデータのパージ

データのパージでは、機微データが故意または偶然にディスク上に保存されている場合に、データの特定のサブセットを戦略的に上書きするメカニズムを提供します。Security Analyticsのwipeユーティリティは、Security Analyticsコア サービスのメタ データベースおよびパケット データベース内にある特定のパターンのデータを上書きすることができます。これらのデータベースには、セッション識別子に基づいて、既存セッションのRawパケットやログが保存されています。すべてのSecurity Analyticsコア コンポーネントには、正規表現パターンなどのクエリーの実行により検出したデータのサブセットを上書きする機能が備わっています。クエリーの結果得られたセッション識別子が、Security Analyticsのwipeユーティリティにフィードされます。

注:このオプションは、SAコア データベース内のデータが圧縮されている場合(通常Archiverでは圧縮が有効)には使用できません。

大部分のSecurity Analyticsコンポーネントでは、使用中のデータベースを編集したり、安全に削除したりするメカニズムは組み込まれていません。Malware Analysisコンポーネントは、データ保存管理プロセスの実行中にデータ オブジェクトを削除するのではなく、データベース内のデータ オブジェクトを値privateで上書きできます。ただし、これは安全な削除メカニズムとは言えません。

注意:この方法を多数のセッションに対して使用する場合、長時間を要することとパフォーマンスに影響を与えることの2つの弊害があります。

データ上書きの制限事項

オプション2および3で説明した上書き手法には制限事項があります。ディスク セクター内のデータの上書きを実行する場合、前述の上書きオプションと、代替手法として提供される上書きコマンド ライン ツール(CentOSのshredコマンド)は、ディスク レイアウトについて前提条件を設けています。  Security Analyticsホストは、パフォーマンスおよび信頼性の理由からSSDドライブとRAID構成を使用しており、これらでは上書き手法は機能しません。セキュリティを強化しようとして上書き手法によりSSDドライブとRAID構成に変更が加えられる場合、関連するパフォーマンスの低下は避けられず、収集レート、クエリー速度そしておそらくはその他の分野にも影響が及びます。上書き用のコマンド ライン ツールは、特殊なユースケースで特定のデータの編集が必要な場合にのみ使用することが推奨されます。パフォーマンスの低下を招く可能性があるため、これらのツールをリアルタイムに継続的に使用しないでください。

You are here
Table of Contents > データ プライバシーの概要 > 推奨構成

Attachments

    Outcomes