監査ログに署名することにより、監査データの保全性を確保できます。
監査レコードに署名することによって、監査ログへの変更をトレースできます。
始める前に
制約事項: 監査データへの署名は、デフォルトの監査サービス・プロバイダーを使用して作成されたデータに対してのみ適用できます。SMF エミッターまたはサード・パーティーのエミッターを使用する場合は、データに署名することはできません。
セキュリティー監査レコードで署名を有効にするように構成する前に、
ご使用の環境でグローバル・セキュリティーとセキュリティー監査を有効にしてください。監査レコードの署名を構成するには、監査員ロールと管理者ロールが割り当てられている必要があります。
手順
- とクリックします。
- 「署名を使用可能にする (Enable signing)」チェック・ボックスを選択し、監査レコードに署名を入れるように指定します。 このパネルの他のフィールドはすべて、
このチェック・ボックスを選択してからでなければ使用できません。
- 「署名証明書」ドロップダウン・メニューを含む Managed 鍵ストアから、署名証明書を含む鍵ストアを選択します。
- 既存の証明書を使用して監査レコードに署名する場合は、鍵ストアで「証明書」が選択されていて、
「証明書別名」ドロップダウン・メニューで目的の証明書が指定されていることを確認します。
- 監査レコードに署名する新しい証明書を生成する場合は、選択した鍵ストアで
「新規証明書の作成 (Create a new certificate)」を選択し、次のステップに従います。
- 「証明書別名」フィールドに、新しい証明書の名前を入力します。
- オプション「暗号化証明書をインポートする (Import the encryption certificate)」、「証明書を自動的に生成する (Automatically generate certificate)」、「証明書をインポートする (Import a certificate)」のいずれかを選択します。 監査ログ・ファイルでデータの暗号化に使用する証明書は、作成することも、インポートすることもできます。
- 「暗号化証明書をインポートする (Import the encryption certificate)」を選択した場合は、
暗号化証明書を使用して監査レコードに署名することもできます。この構成を完了するには、このページの最後のステップにスキップしてください。
- 証明書の生成を選択した場合は、このページの最後のステップにスキップして、この構成を完了してください。
- 既存の鍵ストアから証明書をインポートすることを選択した場合は、ステップ c に進みます。
- 「鍵ファイル名」フィールドに、鍵ストア・ファイルの名前を入力します。
- 「パス」フィールドに、鍵ストア・ファイルへのパスを入力します。
- 「タイプ」ドロップダウン・リストから鍵ストア・タイプを選択します。 「タイプ」ドロップダウン・リストのデフォルト値は PKCS12 です。
- 「鍵ファイル・パスワード (Key File password)」フィールドに鍵ストアと関連付けるパスワードを入力します。
- 「鍵ファイル別名の取得」をクリックして、
「インポートする証明書別名 (Certificate alias to import)」ドロップダウン・メニューを表示します。
- 「インポートする証明書別名 (Certificate alias to import)」ドロップダウン・メニューから、
インポートする証明書を選択します。
- 「OK」をクリックします。
タスクの結果
これらのステップを完了すると、監査ログはデジタル署名され、データの保全性が確保されます。
次のタスク
これで監査ログに署名するように構成されました。
監査ログの機密性を確保するには、監査レコードを暗号化するように監査サブシステムを構成してください。