データ プライバシー:概要

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analyticsでプライバシーに関わる機微データの公開を管理するデータ プライバシー責任者または管理者向けに、概念と実装上の考慮事項について説明します。また、推奨されるユース ケースに関する情報も提供します。

注:データ プライバシー計画は、Security Analyticsのほとんどのコンポーネントに関連します。データ プライバシーを構成するには、Security Analyticsネットワーク コンポーネント、(「ホストおよびサービス スタート ガイド」で説明する)Security Analyticsホストとサービスの構成、保護する必要がある情報のタイプを理解する必要があります。

一部の地域、たとえばEU(欧州連合)では、情報システムに、プライバシーに関わる機微データを保護する手段を装備することが規制によって義務づけられています。「いつ、誰が、何を」したかを直接的または間接的に表すデータはすべて、プライバシーに関わる機微データと見なされる可能性があります。たとえば、ユーザー名、メール アドレス、ホスト名がこれに該当します。Security Analyticsには、プライバシー機微データを保護するために活用できる各種の制御機能が用意されています。これらの制御機能をさまざまに組み合わせることにより、分析機能を著しく損なうことなくプライバシー機微データを保護することができます。

DPO(データ プライバシー責任者)用の新しいユーザー ロールがSecurity Analytics 10.5に追加されました。DPOは、プライバシー機微データの管理をサポートします。DPOは、複数の方法を組み合わせてSecurity Analyticsを構成し、メタ データとrawコンテンツ(パケットとログ)に含まれる機微データの露出を制限することができます。Security Analyticsでのデータ保護に使用できる手段を次に示します。

  • データの難読化
  • データ保存期間管理
  • 監査ログ

データの難読化

Security Analyticsには、データを難読化する構成可能なオプションが用意されています。データ プライバシー責任者および管理者は、プライバシー機微データとして扱うメタ キーを指定し、これらのキーのメタ値とrawデータを表示してもよいSecurity Analyticsネットワーク内の場所を制限できます。Security Analyticsは、調査と分析が可能となるよう、元の値の代わりに難読化されたデータを表示します。また、DPOおよび管理者は、プライバシー機微なメタ値とrawデータ(ログまたはパケット)が永続的に保存されないように設定できます。

データの難読化は、3つの方法の組み合わせにより実装されます。

  • プライバシー機微メタ キーのメタ値の難読化(オプションとしてソルト指定可能)。 保護対象として構成されたメタ キーの値は、DecoderまたはLog Decoderでの作成時に難読化されます。実装するには、DecoderおよびLog Decoderのハッシュ アルゴリズムとソルトを構成し、すべてのSecurity Analytics Coreサービスでプライバシー機微なLanguageキーを保護対象として構成する必要があります。
  • rawログまたはrawパケット、およびプライバシー機微メタ値へのRBAC(ロール ベースのアクセス制御)。 DPOは、きめ細かな権限機能を備えたロールを使用して、構成、分析、調査中にアナリストとデータ プライバシー責任者それぞれに表示する内容を制限できます。「システム セキュリティとユーザー管理ガイド」には、Security AnalyticsにおけるRBAC実装の詳細が記載されています。実装するには、個別のBroker、Concentrator、Decoder、Log Decoder、Archiverで、ロールごとのメタおよびコンテンツの可視性を構成する必要があります。
  • プライバシー機微メタ値とrawログまたはrawパケットが永続的に保存されないようにするための設定。 実装するには、個々のDecoderおよびLog DecoderのParser構成で、メタ キーを「transient」に設定する必要があります。

注:Security AnalyticsのデフォルトのAnalystsロールの権限では、特定のメタ キーの表示を制限されたアナリストであっても、制限されたメタ キーを含むPCAPをInvestigationからエクスポートおよびダウンロードし、そのデータをWiresharkなどのサード パーティ アプリケーションで表示することができます。これを防ぐには、DPOは、sdk.packets権限をデフォルトのAnalystsロールから削除する必要があります。ただし、Analystsロールからsdk.packets権限を削除すると、そのロールを割り当てられたすべてのアナリストに対してPCAPのエクスポートまたはダウンロードが制限されるため、特定のタイプの分析を実行できなくなります。アナリストがPCAPをエクスポートまたはダウンロードする必要がある場合には、DPOは、Security Analyticsのグローバル監査機能を活用して、エクスポートまたはダウンロードに関連するイベントを収集し、ポリシー違反がないか、監査ログを監視します。

データ保存期間管理

Security Analyticsでは、必要な期間のみ、または指定された期日までデータを保存するよう構成できます。管理者は、閾値として期間または日付を指定して、サービスごとにデータの保存期間を構成できます。各サービスで実行されているスケジューラは、これらの閾値を満たすデータを自動的に削除します。削除されたデータは、ユーザー インタフェース、クエリー、API(Application Programming Interface)コールから利用できなくなります。Security Analyticsの一部のコンポーネントでは、上書きによるデータのパージもサポートされます。

管理者がデータ保存を管理する方法は複数あります。

  • システムのストレージにデータが保持される期間を構成します。
  • Coreサービスでは、一定の期間が経過したデータが自動的に削除されるよう構成することにより、プライバシー機微データを戦略的に削除します。
  • 元のデータが他のコンポーネントに送信されることも保存されることもないようにSecurity Analyticsを構成します。プライバシー機微データが、Reporting Engine、Malware Analysis、Security Analyticsサーバの他のデータベースに送られた場合も、そこで同じようにデータ保存を管理できます。Event Stream Analysisでのデータ保存の構成は、[サービス]の[エクスプローラ]ビューで管理します。

注:システム稼働後に、収集済みのデータがプライバシー機微データであるとDPOが判断した場合、管理者は、そのデータが保存されているデータベースまたはファイルを手動で上書きできます。

監査ログ

管理者は、グローバル監査ログ機能を使用して、Security Analyticsによって作成された監査ログを利用できます。監査ログ機能により、多くのアクティビティに関する監査ログ エントリーが生成されます。データ プライバシーに関連するログ エントリーの例を次に示します。

  • ロールに割り当てられた権限およびユーザーの変更。
  • 失敗または成功したSecurity Analyticsへのログオン試行およびログオフ。
  • データの削除。
  • データのエクスポートおよびダウンロード。
  • ユーザーが実行したユーザー インタフェースのナビゲーションおよびクエリー。
  • プライバシー機微データを表示または変更しようとする試み(成功と失敗を含む)と、試行したユーザーの識別情報。

すべての監査ログ エントリーがSecurity Analyticsの標準の監査証跡に含まれます。管理者は、追加のフィルタ処理およびレポート作成を行うため、指定した宛先(サード パーティ システムを含む)に監査ログを転送するようSecurity Analyticsを構成できます。グローバル監査ログの詳細については、「システム構成ガイド」の「グローバル監査ログの構成」を参照してください。

データ プライバシー機能の対象となるコンポーネント

次の図では、10.5以降のデータ プライバシー機能の対象となるSecurity Analyticsコンポーネントに緑色のチェックマークが付いています。X印が付いたコンポーネントは、データ プライバシー機能でサポートされません。Security Analyticsコンポーネントの機能の説明については、「Security Analyticsスタート ガイド」を参照してください。

注:Security Analyticsのデータ プライバシー機能はWarehouseではサポートされません。保護対象のメタ データは、Warehouse Connectorのメタ フィルターで明示的に除外するよう構成しない限り、Warehouse Connector経由でWarehouseに送られます。保護対象のメタ データがWarehouseに送信された場合、Warehouseに直接アクセスできるユーザーは、保護対象のデータに対してクエリーを実行できます。データ プライバシー責任者は、Security Analyticsの外の管理統制、技術統制、手順統制により、これを防止する必要があります。

各コンポーネントのデータ プライバシー機能の実装状況

各Security Analyticsコンポーネントでサポートされているデータ プライバシー機能を次の表に示します。各コンポーネントのチェックマークは、そのコンポーネントが、データの難読化、データ保存期間管理、データの上書き、監査ログをサポートしていることを示します。

                                                                                                         
コンポーネントデータの難読化データ保存期間管理 データの上書き監査ログ
取得
Decoder checkmark3.png checkmark3.png checkmark3.png checkmark3.png
Log Decoder checkmark3.png checkmark3.png checkmark3.png checkmark3.png
メタ集計
Concentrator checkmark3.png checkmark3.png checkmark3.png checkmark3.png
Broker該当なし checkmark3.png
(DPOキャッシュにのみ格納)1
  checkmark3.png
リアルタイム分析  
Investigation checkmark3.png checkmark3.png
(DPOキャッシュにのみ格納)2
  checkmark3.png
Event Stream Analysis checkmark3.png    checkmark3.png
Malware Analysis checkmark3.png checkmark3.png   checkmark3.png
Incident Management checkmark3.png checkmark3.png   checkmark3.png
レポート
Reporting Engine checkmark3.png checkmark3.png   checkmark3.png
長期間の分析
Archiver checkmark3.png checkmark3.png checkmark3.png
(非圧縮)3
checkmark3.png
Warehouse    

注:
1 - Brokerはデータをキャッシュする場合があり、これをクリアするために、必要に応じて、単独のロールオーバーやその他のキャッシュ削除を構成する必要があります。管理者は、Brokerのキャッシュ ロールオーバーを構成できます。そのためには、[サービス]の[構成]ビューの[ファイル]タブでshedulerを構成します。
2 - InvestigationおよびSecurity Analyticsサーバのキャッシュ データ。これは、24時間ごとに自動的にクリアされます。
3 - 非圧縮データには、「 データ保存期間の構成 」で説明されている上書き手順が適用されます。

コンポーネントに固有の構成ガイドライン

プライバシー機微メタ データとそれらが難読化されたデータにアクセスするSecurity Analyticsのコンポーネントおよびモジュールは、Investigation、ESA(Event Stream Analysis)、Malware Analysis、Incident Management、Reportsです。これらのコンポーネントおよびモジュールは、ユーザーのロールに定義された権限に基づいてデータにアクセスします。管理者またはDPOは、DecoderまたはLog Decoderを構成し、難読化するメタ キーを特定しフラグを立てます。

これらのコンポーネントに関しては、データ プライバシー スキームで求められるとおりの動作を実現するために、追加のガイドラインがあります。

  • Event Stream Analysis。ESAは、Security Analyticsコアからプライバシー機微データを受け取ると、難読化データのみを転送します。ESAは、保護対象のデータの格納と表示を行いません。詳細EPLルールおよびエンリッチメント ソースの構成に関して、いくつか追加のガイドラインがあります(「ESAを使用したアラート 」ガイドの「機微データ」トピックで説明)。
  • Malware Analysis。Malware Analysisは、スコアリング中に、alias.hostclientなどの特定のメタ キーを参照します。分析機能を維持するには、Malware Analysisを信頼済みクライアントとして構成する必要があります。そのためには、DPOロールのユーザーと同等のアカウントでSecurity Analyticsコア インフラストラクチャに接続するよう構成します。そうしないと、Malware Analysisが参照するメタ キーが難読化され、そのメタ キーをMalware Analysisから利用できない場合、一部のIOC(セキュリティ侵害インジケーター)に無効と表示される可能性があります。
  • Incident Management。Incident Managementでは、データ プライバシー マッピング ファイルを使用して、難読化されたデータをアラートに表示します(「インシデント管理ガイド」の「プライバシー データの難読化」トピックを参照してください)。また、アラートの保存期間を構成できます(「インシデント管理ガイド」の「アラートとインシデントの保持期間の設定」トピックを参照してください)。
  • Reports:Reporting Engineでは、各Coreサービスが、2つの別個のサービス アカウントを使用して、2つの別個のデータ ソースとして追加されます。1つ目のデータ ソースはDPOロールのサービス アカウントを使用し、2つ目のデータ ソースはDPO以外のロールのサービス アカウントを使用します。Reporting Engineのデータ プライバシーを構成する手順については、「Reporting Engine構成ガイド」の「Reporting Engineのデータ プライバシーの構成」トピックを参照してください。

 

 

関連トピック

Next Topic:推奨構成
You are here
Table of Contents > データ プライバシーの概要

Attachments

    Outcomes