データ プライバシー:推奨ソリューションの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、管理者およびデータ プライバシー責任者が、Security Analyticsネットワークで推奨データ プライバシー ソリューションを構成する方法について説明します。機微データを特定し、その機微データを誰が参照できるかを決定するために、Security Analyticsシステムを構成する基本的なステップを次に示します。推奨構成では、特定のメタ キーの元の値を難読化し、特権ロールを割り当てられたユーザーが利用できるように、元のデータと難読化されたデータの両方を保存します。

この構成は、いくつかの部分に分かれています。

  1. 異なる権限を持つ2人のユーザーを作成します。1人のユーザー(データ プライバシー責任者)はすべてのメタ データを参照でき、もう一人のユーザー(アナリスト)は特定のメタ データとメタ データに関連するコンテンツの参照が制限されます。
  2. ソルトとハッシュを使用して2つの変換を設定し、usernameおよびip.srcメタ キーの元の値から難読化された値を生成します。
  3. ConcentratorsおよびDecodersサービスでデータ保存を構成します。

前提条件

この手順を完了するためには次の条件が必要です。

  • ConcentratorとDecoderは、信頼関係接続を使用して、Security Analyticsサーバに追加する必要があります。
  • SAサーバのバージョンが10.5以降である。
  • Security Analytics Coreサービスは、10.5以降にする必要があります。
  • 集計には、すべてのSecurity Analytics CoreサービスでAggregatorsアカウントを使用する。

手順

Broker、Concentrator、Decoderでのメタおよびコンテンツ制限の構成

ユーザーが参照できるメタおよびRawコンテンツを制限するには、SDKシステム ロールを有効化してより細かな制御ができるようにし、[サービス]の[セキュリティ]ビューで各サービスのメタおよびコンテンツの制限を構成する必要があります。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービスを選択し、ic-actns.png>[表示]>[セキュリティ]を選択します。
  3. 設定タブをクリックします。

    SvsConLdSetTb.png

  4. SDKメタ ロール権限]フィールドで、[メタとコンテンツのブラックリスト]を選択します。[適用]をクリックします。

    これにより、管理者はメタ キーのブラックリストを作成し、データ プライバシー責任者だけがそれらのメタ キーおよびコンテンツを参照できるようにすることができます。メタ キーごとの新しいロール権限が[ロール]タブに追加されます。

  5. ロール]タブをクリックします。

  6. [ロール]タブで、次の手順を実行します。

    1. アナリストが参照できないようにするメタ キーを選択します。たとえば、[sdk.meta.username]と[sdk.meta.ip.src]を選択します。

      これにより、アナリストはプライバシー機微なメタ キーであるusernameip.srcだけでなく、それらのメタ キーが含まれているすべてのセッションのすべてのコンテンツを参照できなくなります。

    2. sdk.packet]を選択解除すると、アナリストはRawパケットおよびログの一括エクスポートができなくなります。
    3. 適用]をクリックします。
  7. [ロール]タブで、Data_Privacy_Officersロールにsdk.meta.valuesが選択されていないことを確認します。[適用]をクリックします。

    DPOはすべてのメタおよびすべてのセッションを参照できます。

    [ロール]タブで、Aggregation ロールに次の権限があることを確認します。aggregatesdk.content sdk.metasdk.packets.を選択します。

Security Analyticsサーバでのデータ プライバシー責任者およびアナリストのアカウントの追加

特権アクセスを持つデータ プライバシー責任者と一般的なアナリストの2つのユーザー アカウントを、Security Analyticsのシステム レベルで作成する必要があります。デフォルトの信頼関係接続を使用して構成されている環境では、Security Analytics Coreサービス(Broker、Concentrator、Decoder)で新しいユーザー アカウントを作成する必要はありません。Security Analyticsサーバでユーザーを作成すると、そのユーザーはそれらのサービスにログオンできます。

注:ロール名がサーバとサービスの両方に存在する必要があり、ロール名が同一である必要があります。Security Analyticsサーバ上で新しいカスタム ロールを作成する場合は、すべてのSecurity Analytics Coreサービスにも必ずそのロールを追加します。

  1. データ プライバシー責任者用の新しいユーザー アカウントの作成:

    1. Security Analyticsメニューで、[Administration]>[セキュリティ]を選択します。[ユーザー]タブのツールバーで、をクリックします。

      [ユーザーの追加]ダイアログが表示されます。

      AddUserDPOex.png

    2. 次の認証情報を使用して、新しいアカウントを作成します。

      ユーザー名 = <ログオン用の新しいユーザー名(例:DPOadmin)>
      Eメール = <新しいユーザーのEメール アドレス(例:DPOadmin@rsa.com)>
      パスワード = <新しいユーザーのログオン用パスワード(例:RSAprivacy1!@)>
      フル ネーム = <新しいユーザーのフル ネーム(例:DPO Administrator)>

    3. [ロールと属性]セクションで[ロール]タブに移動し、ic-add.pngをクリックし、新しいユーザーにData_Privacy_Officersロールを選択します。
    4. 保存]を選択します。
  2. アナリスト用の限定された権限を持つ新しいユーザー アカウントの作成:

    1. Security Analyticsメニューで、[Administration]>[セキュリティ]を選択します。[ユーザー]タブのツールバーで、をクリックします。

      [ユーザーの追加]ダイアログが表示されます。

    2. 次の認証情報を使用して、新しいアカウントを作成します。

      ユーザー名 = <ログオン用の新しいユーザー名(例:NonprivAnalyst)>
      Eメール = <新しいユーザーのEメール アドレス(例:NonprivAnalyst@rsa.com)>
      パスワード = <新しいユーザーのログオン用パスワード(例:RSAprivacy2!@)>
      フル ネーム = <新しいユーザーのフル ネーム(例:Nonprivileged Analyst)>

    3. [ロールと属性]セクションで[ロール]タブに移動し、ic-add.pngをクリックし、新しいユーザーにAnalystsロールを選択します。
    4. 保存]を選択します。

      dposysrolEx.png

DecodersおよびConcentratorsでのデータ難読化の構成

この手順では、元のデータへのアクセス権がないユーザーに提供するための難読化された値を作成します。

  1. 難読化された値が一意になるようにソルトを構成します。別の企業に同じ名前のアナリストがおり、同じログイン名を使用している場合、ソルトを使用することにより、別の企業の誰かが難読化メカニズムを判読する可能性を制限できます。この例では、単純なソルトとSHA-256を使用していますが、ソルトは構成可能であり、ハッシュ アルゴリズムは変更可能です。詳細については、「データ難読化の構成」を参照してください。

    1. ソルトおよびハッシュ アルゴリズムを定義するには、Security Analyticsメニューで[Administration]>[サービス]を選択します。
    2. Decoder]を選択し、ic-actns.png>[表示]>[構成]を選択します。
    3. データ プライバシー]タブをクリックし、ハッシュ アルゴリズム(SHA-256)を選択します。[ソルト]フィールドに、ソルト値(例:rsasecurity)を入力し、[適用]をクリックします。
  2. Decoderでの元のメタ キーと難読化されたメタ キーの間の変換を定義し、ハッシュ値の保存形式を指定します。デフォルトのハッシュ保存形式はバイナリですが、推奨構成はテキスト/文字列形式です。

    1. ファイル]タブをクリックし、ドロップダウン メニューでindex-decoder-custom.xmlを選択します。(Log Decoderでは、index-logdecoder-custom.xmlファイルを選択して、これと同じ構成を適用できます。)
    2. 入力領域に次の行を入力します。

      <?xml version="1.0" encoding="utf-8"?>
      <language level="IndexNone" defaultAction="Auto">
      <key name="username" description="Username" format="Text" protected="true"><transform destination="username.hash"/></key>
      <key name="username.hash" description="Username Hash" format="Text"/>
      <key name="ip.src" description="Source IP Address" format="IPv4" protected="true"><transform destination="ip.src.hash"/></key>
      <key name="ip.src.hash" description="Source IP Address Hash" format="Text"/>
      </language>

    3. Decoderサービスを再起動します。ツールバーで、[表示]ドロップダウン メニュー(現在のラベルは[構成])から、[システム]を選択します。サービスの[システム]ビューで、[サービスのシャットダウン]を選択します。サービスは自動的に再起動されます。
  3. Concentratorで、index-concentrator-custom.xmlファイルを使用してメタ キーを定義します。

    1. ファイル]タブをクリックし、ドロップダウン メニューでindex-concentrator-custom.xmlを選択します。
    2. 入力領域に次の行を入力します。

      <?xml version="1.0" encoding="utf-8"?>
      <language level="IndexValues" defaultAction="Auto">
      <key name="username" description="Username" format="Text" level="IndexValues" protected="true"/>
      <key name="username.hash" description="Username Hash" format="Text" level="IndexValues" token="true"/>
      <key name="ip.src" description="Source IP Address" format="IPv4" level="IndexValues" protected="true"/>
      <key name="ip.src.hash" description="Source IP Address Hash" format="Text" level="IndexValues" token="true"/>
      </language>

    3. Concentratorサービスを再起動します。ツールバーで、[表示]ドロップダウン メニュー(現在のラベルは[構成])から、[システム]を選択します。サービスの[システム]ビューで、[サービスのシャットダウン]を選択します。サービスは自動的に再起動されます。

ConcentratorsおよびDecodersでのデータ保存の構成

データ保存構成により、一定の期間が経過したデータをSecurity Analytics Coreコンポーネント内から削除することができます。ConcentratorおよびDecoderでのデータ保存の構成は、すべての環境で必要なものではありませんが、関係法令に対するコンプライアンスのために必要となる場合があります。環境に応じた適切な保存期間を評価することが重要です。設定したデータ保存スケジューラの構成は、ConcentratorまたはDecoder上のすべてのデータに適用されます。  

下記の例では、期間の閾値に適合しているかどうかを判断するためのチェックを15分ごとに実行するように、Security Analyticsが構成されています。閾値に達している場合、Security Analyticsは関連するデータベースから90日が経過した古いデータを削除します。

注意:90日間の保存期間は、単なる例です。データの場所や関係する法令に応じて、ロールオーバー条件を調整してください。PII(個人識別情報)を頻繁に保存または削除しないことが法律で求められているヨーロッパのように、データ プライバシーが厳格な環境では、この時間を調整する必要があります。

この手順はオプションです。保存期限を設定しないと、ハード ドライブの領域がいっぱいになったときに、システムによって最も古いデータが自動的に削除されます。 

(オプション)各ConcentratorとDecoder:

  1. [サービス]>[構成]ビューで、[データ保存スケジューラ]タブに移動します。

    DatRetSchDeTbEX.png

  2. データの保存期間を定義します。たとえば、[閾値]を[期間]に設定し、[]フィールドに[90]と入力します。
  3. 閾値に達しているかどうかをスケジューラがチェックする頻度を定義します。たとえば、[実行]を[間隔]に設定し、[]フィールドに[15]を設定します。
  4. 適用]をクリックして、構成を保存します。

データ プライバシー保護の検証

この時点で、特定のタイプのメタ データに対するアクセス権限を持つロールを割り当てられたユーザーが追加されているものとします。次のステップでは、制限なしのユーザー(DPO)が参照できるデータを、制限付きユーザー(アナリスト)が参照できないことを確認します。データ保存構成によって、データがシステム上で保持される期間が制限されていることも確認する必要があります。

  1. ロール ベースの難読化が機能していることを検証するには、次の手順を実行します。

    1. 制限なしのユーザー(DPOadmin)としてログオンし、保護対象の機微データであるusernameip.srcを含むすべてのデータ、およびそのメタが含まれる任意のセッションを参照できることを確認します。
    2. ログオフし、DPOユーザーとしてログオンし直します。
    3. DecoderとLog Decoderのそれぞれで、サービスの[システム]ビューからPCAPまたはログ ファイルをインポートします。  [パケット ファイルのアップロード]オプションを使用して、usernameip.srcのメタ データを持つPCAPファイルをアップロードします。
    4. インポートが完了したら、[Investigation]>[ナビゲート]ビューで、データのインポート先のDecoderが接続するConcentratorを選択し、メタ データを表示します。
    5. 下方向にスクロールして、usernameip.srcのメタ キーおよびそれに対応する値が表示されていることを確認します。
    6. usernameまたはip.srcの値の横にある緑色の番号のいずれかをクリックし、そのセッションが[イベント]ビューにロードされることを確認します。
    7. そのセッションIDをメモして、制限付きユーザーとしてログオンした時の検証に使用します。
    8. ログオフし、制限付きユーザー(NonprivAnalyst)としてログオンします。
    9. ステップc~fを繰り返して、このユーザーではusernameまたはip.srcのメタまたはそのメタが含まれている前述のセッションを参照できないことを確認します。 
    10. 特定のセッションにジャンプするには、[Investigation]>[ナビゲート]ビューに移動し、[アクション]メニューで[イベントに移動]を選択し、セッションIDを入力します。
  2. データベースに保持されているデータが、[データ保存スケジューラ]で構成した保存期間内のデータであることを確認します。

    1. ログオフし、制限なしのユーザー(DPOadmin)としてログオンします。
    2. Concentratorで[サービス]>[エクスプローラ]ビューに移動します。
    3. ノード ツリーでdatabaseノードを選択し、statsを選択します。
    4. meta.oldest.file.timeの値を確認し、それが[データ保存スケジューラ]で設定した閾値より前でないことを確認します。
    5. サービスをDecoderに変更し、ステップb~dを繰り返して、stats meta.oldest.file.timepacket.oldest.file.timeを確認します。
Next Topic:詳細な手順
You are here
Table of Contents > クイック スタートの手順 > 推奨データ プライバシー ソリューションの構成

Attachments

    Outcomes