データ プライバシー:概要

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、RSA NetWitness® Suiteでプライバシーに関わる機微データの公開を管理するデータ プライバシー責任者または管理者向けに、概念と実装上の考慮事項について説明します。また、推奨されるユースケースに関する情報も提供します。

注:データ プライバシー計画は、NetWitness Suiteのほとんどのコンポーネントに関連します。データ プライバシーを構成するには、NetWitness Suiteネットワーク コンポーネント、(「ホストおよびサービス スタート ガイド」で説明)NetWitness Suiteホストとサービスの構成、保護する必要がある情報のタイプを理解する必要があります。

一部の地域、たとえばEU(欧州連合)では、情報システムに、プライバシーに関わる機微データを保護する手段を装備することが規制によって義務づけられています。「いつ、誰が、何を」したかを直接的または間接的に表すデータはすべて、プライバシーに関わる機微データと見なされる可能性があります。たとえば、ユーザ名、メール アドレス、ホスト名がこれに該当します。NetWitness Suiteには、プライバシー機微データを保護するために活用できる各種の制御機能が用意されています。これらの制御機能をさまざまに組み合わせることにより、分析機能を著しく損なうことなくプライバシー機微データを保護することができます。

DPO(Data Privacy Officer : データ プライバシー責任者)用の新しいユーザ ロールがNetWitness Suite 10.5以降に追加されました。DPOは、プライバシー機微データの管理をサポートします。DPOは、複数の方法を組み合わせてNetWitness Suiteを構成し、メタ データとrawコンテンツ(パケットとログ)に含まれる機微データの露出を制限することができます。NetWitness Suiteが提供するデータ保護手段を次に示します。

  • データの難読化
  • データ保存期間管理
  • 監査ログ

データの難読化

NetWitness Suiteには、データを難読化する構成可能なオプションが用意されています。データ プライバシー責任者および管理者は、プライバシー機微データとして扱うメタ キーを指定し、これらのキーのメタ値とrawデータを表示してもよいNetWitness Suiteネットワーク内の場所を制限できます。NetWitness Suiteは、調査と分析が可能となるよう、元の値の代わりに難読化されたデータを表示します。また、DPOおよび管理者は、プライバシー機微なメタ値とrawデータ(ログまたはパケット)が永続的に保存されないように設定できます。

データの難読化は、3つの方法の組み合わせにより実装されます。

  • プライバシー機微メタ キーのメタ値の難読化(オプションとしてソルト指定可能)。 保護対象として構成されたメタ キーの値は、DecoderまたはLog Decoderでの作成時に難読化されます。難読化された値はハッシュ化され、判読不能と見なされます。実装するには、DecoderおよびLog Decoderのハッシュ アルゴリズムとソルトを構成し、すべてのCoreサービスでプライバシー機微なLanguageキーを保護対象として構成する必要があります。
  • rawログまたはrawパケット、およびプライバシー機微メタ値へのRBAC(ロール ベースのアクセス制御)。 DPOは、きめ細かな権限機能を備えたロールを使用して、構成、分析、調査中にアナリストとデータ プライバシー責任者それぞれに表示する内容を制限できます。「システム セキュリティとユーザ管理ガイド」には、NetWitness SuiteにおけるRBAC実装の詳細が記載されています。実装するには、個別のBroker、Concentrator、Decoder、Log Decoder、Archiverで、ロールごとのメタおよびコンテンツの可視性を構成する必要があります。
  • プライバシー機微メタ値とrawログまたはrawパケットが永続的に保存されないようにするための設定。 実装するには、個々のDecoderおよびLog DecoderのParser構成で、メタ キーを「transient」に設定する必要があります。

データ保存期間管理

NetWitness Suiteでは、必要な期間のみ、または指定された期日までデータを保存するよう構成できます。管理者は、閾値として期間または日付を指定して、サービスごとにデータの保存期間を構成できます。各サービスで実行されているスケジューラは、これらの閾値を満たすデータを自動的に削除します。削除されたデータは、ユーザ インタフェース、クエリ、API(Application Programming Interface)コールから利用できなくなります。NetWitness Suiteの一部のコンポーネントでは、上書きによるデータのパージもサポートされます。

管理者がデータ保存を管理する方法は複数あります。

  • システムのストレージにデータが保持される期間を構成します。
  • Coreサービスでは、一定の期間が経過したデータが自動的に削除されるよう構成することにより、プライバシー機微データを戦略的に削除します。
  • 元のデータが他のコンポーネントに送信または保存されないようにNetWitness Suiteを構成します。プライバシー機微データが、Reporting Engine、Malware Analysis、NetWitnessサーバの他のデータベースに送られた場合も、そこで同じようにデータ保存を管理できます。Event Stream Analysisでのデータ保存の構成は、[サービス]の[エクスプローラ]ビューで管理します。

注:システム稼働後に、収集済みのデータがプライバシー機微データであるとDPOが判断した場合、管理者は、そのデータが保存されているデータベースまたはファイルを手動で上書きできます。

監査ログ

管理者は、グローバル監査ログ機能を使用して、NetWitness Suiteによって作成された監査ログを利用できます。監査ログ機能により、多くのアクティビティに関する監査ログ エントリーが生成されます。データ プライバシーに関連するログ エントリーの例を次に示します。

  • ロールに割り当てられた権限およびユーザの変更。
  • 失敗または成功したNetWitness Suiteへのログオン試行およびログオフ。
  • データの削除。
  • データのエクスポートおよびダウンロード。
  • ユーザが実行したユーザ インタフェースのナビゲーションおよびクエリ。
  • プライバシー機微データを表示または変更しようとする試み(成功と失敗を含む)と、試行したユーザの識別情報。

すべての監査ログ エントリーがNetWitness Suiteの標準の監査証跡に含まれます。管理者は、追加のフィルタ処理およびレポート作成を行うため、指定した宛先(サード パーティ システムを含む)に監査ログを転送するようNetWitness Suiteを構成できます。グローバル監査ログの詳細については、「システム構成ガイド」の「グローバル監査ログの構成」を参照してください。

データ プライバシー機能の対象となるコンポーネント

次の図では、10.5以降のデータ プライバシー機能の対象となるNetWitness Suiteコンポーネントに緑色のチェックマークが付いています。X印が付いたコンポーネントは、データ プライバシー機能でサポートされません。「NetWitness Suiteスタート ガイド」には、NetWitness Suiteコンポーネントの機能に関する説明が記載されています。

注:NetWitness Suiteのデータ プライバシー機能はWarehouseではサポートされません。保護対象のメタ データは、Warehouse Connectorのメタ フィルタで明示的に除外するよう構成しない限り、Warehouse Connector経由でWarehouseに送られます。保護対象のメタ データがWarehouseに送信された場合、Warehouseに直接アクセスできるユーザは、保護対象のデータに対してクエリを実行できます。データ プライバシー責任者は、NetWitness Suiteの外の管理統制、技術統制、手順統制により、これを防止する必要があります。

各コンポーネントのデータ プライバシー機能の実装状況

各NetWitness Suiteコンポーネントでサポートされているデータ プライバシー機能を次の表に示します。各コンポーネントのチェックマークは、そのコンポーネントが、データの難読化、データ保存期間管理、データの上書き、監査ログをサポートしていることを示します。

                                                                                                         
コンポーネントデータの難読化データ保存期間管理 データの上書き監査ログ
取得
Decoder チェックマーク
Log Decoder
メタ集計
Concentrator
Brokern/a (DPOキャッシュにのみ格納)1 
リアルタイム分析  
Investigation (DPOキャッシュにのみ格納)2 
Event Stream Analysis   
Malware Analysis  
Respond  
レポート作成
Reporting Engine  
長期間の分析
Archiver (非圧縮)3
Warehouse    

注:
1 - Brokerはデータをキャッシュする場合があり、これをクリアするために、必要に応じて、単独のロールオーバーやその他のキャッシュ削除を構成する必要があります。管理者は、Brokerのキャッシュ ロールオーバーを構成できます。そのためには、[サービス]の[構成]ビューの[ファイル]タブでShedulerを構成します。
2 - InvestigationとNetWitnessサーバにキャッシュされたデータは、24時間ごとに自動的にクリアされます。
3 - 非圧縮データには、「データ保存期間の構成」に示されている処理手順が適用されます。

コンポーネントに固有の構成ガイドラインガイドライン

プライバシー機微メタ データとそれらが難読化されたデータにアクセスするNetWitness Suiteのコンポーネントおよびモジュールは、Investigation、ESA(Event Stream Analysis)、Malware Analysis、Respond、Reportsです。これらのコンポーネントおよびモジュールは、ユーザのロールに定義された権限に基づいてデータにアクセスします。管理者またはDPOは、DecoderまたはLog Decoderを構成し、難読化するメタ キーを特定しフラグを立てます。

これらのコンポーネントに関しては、データ プライバシー スキームで求められるとおりの動作を実現するために、追加のガイドラインがあります。

  • Event Stream Analysis。ESAは、NetWitness Suiteコアからプライバシー機微データを受け取ると、難読化データのみを転送します。ESAは、保護対象のデータの格納と表示を行いません。詳細EPLルールおよびエンリッチメント ソースの構成に関して、いくつか追加のガイドラインがあります(「ESAを使用したアラート」ガイドの「機微データ」トピックで説明)。NetWitness Suite 11.0の各ドキュメントを見つけるには、バージョン11.0の「マスター目次」に移動します。
  • Malware Analysis。Malware Analysisは、スコアリング中に、alias.hostclientなどの特定のメタ キーを参照します。分析機能を維持するには、Malware Analysisを信頼済みクライアントとして構成する必要があります。そのためには、DPOロールのユーザと同等のアカウントでNetWitness Suite Coreインフラストラクチャに接続するように構成します。そうしないと、Malware Analysisが参照するメタ キーが難読化され、そのメタ キーをMalware Analysisから利用できない場合、一部のIOC(セキュリティ侵害インジケータ)に無効と表示される可能性があります。
  • Respond Serverサービス。Respond Serverサービスでは、データ プライバシー マッピング ファイルを使用して、難読化されたデータをアラートに表示します(「Respondユーザ ガイド」の「プライバシー データの難読化」トピックを参照してください)。また、アラートの保存期間を構成できます(「Respondユーザ ガイド」の「アラートとインシデントの保持期間の設定」トピックを参照してください)。NetWitness Suite 11.0の各ドキュメントを見つけるには、バージョン11.0の「マスター目次」に移動します。
  • レポート:Reporting Engineでは、各Coreサービスが、2つの別個のサービス アカウントを使用して、2つの別個のデータ ソースとして追加されます。1つ目のデータ ソースはDPOロールのサービス アカウントを使用し、2つ目のデータ ソースはDPO以外のロールのサービス アカウントを使用します。Reporting Engineのデータ プライバシーを構成する手順については、「Reporting Engine構成ガイド」の「Reporting Engineのデータ プライバシーの構成」トピックを参照してください。NetWitness Suite 11.0の各ドキュメントを見つけるには、バージョン11.0の「マスター目次」に移動します。
Next Topic:推奨構成
You are here
Table of Contents > データ プライバシーの概要

Attachments

    Outcomes