お客様先では、内部統制や業務管理を目的に、社員が仕事で利用するパソコン端末での操作記録を採取する仕組みを導入されていました。
そして、何かがあったら、端末での利用状況を確認するような運用手順も準備されていました。
しかし、ある日、特定のパソコン端末を確認する必要があり記録していた中身を監査したそうです。
その結果、とあるインターネットサイトに接続していることが判明しました。
そのサイトは、掲示板のようなサイトで、ファイルの貼り付け(アップロード)が出来るサイトです。
記録されていたパソコン端末の情報はインターネットサイトのWebアクセス先のURLだけでした。
疑わしい行為を想定し、そのWebサイトを調べたらしいのですが、実際にアクセスしたと思える時期からすると数カ月が過ぎていて既にWebサイトの情報は判らない状況。
残念ながら明らかな状況を確認出来ることは無かったそうです。
Webサイトは、時々刻々と変化するものです。
サイトによっては、数時間とかの短時間で、内容が変化することもあります。
そう考えると、アクセスしたURLを記録するだけでは、そこで何があったのかも後から調査するのは難しくなります。
また、操作したファイル名についても、ファイル名を任意に変更された後にWebサイトにアップロードしていた場合は、ファイル名でのキーワードチェックでも見つからない可能性も高くなります。
「実際に、社員が何をどうしたのか。どんなファイルをどんな風に扱ったのか。」と、いう目的だった場合、単なるパソコン端末の操作記録を残すだけでは残念ながら確認しきれないケースがあります。
やはり、実際にWebサイトにアクセスした記録を、その時の状態、その時の中身をありのままで再現出来ることが必要になります。
PacketBlackHoleは、その時の通信の状況を、そのままで記録します。
URLの記録だけでなく、アップロードされたファイルについても、そのものを保存します。
PacketBlackHoleは、Webサイトへのアクセスが行われた瞬間に記録を取ります。
そのため、PacketBlackHoleのログ監視通報機能を活用すると、その設定内容によっては最短で前日の通信記録から、管理者に通報することも可能になります。
企業や団体のネットワークがインターネットに接続されている環境であれば、進化するWebサービスに対応するためにも、”実際の通信した内容を記録する”という記録方法が、重要になります。
(Vol.57)
------------------------------------------------------------------------------------------------
Copyright(C) 2012,2025、スワットブレインズ 掲載記事の無断転載を禁じます。